“사후 처벌서 사전 예방으로”…개인정보위, 보호체계 전면 개편

2025-09-11     홍주연 기자

개인정보보호위원회(위원장 고학수)가 ‘개인정보 안전관리 체계 강화 방안’을 발표했다. 4월 발생한 SK텔레콤 고객정보 유출 사고와 같은 대규모 사고를 예방하기 위한 조치다. 이번 방안은 사후 처벌 중심이던 기존 체계에서 벗어나 기업의 선제적 보안 투자를 유도하는 인센티브 중심 체계로의 전환이 목표다.

고학수 개인정보보호위원회 위원장은 8월 28일 제 18회 전체회의 안건 관련 브리핑을 진행하고 있다. / 홍주연 기자

11일 개인정보보호위원회에 따르면, 매출액 1500억원 이상이며 100만 명 이상의 개인정보를 처리하는 약 700개 기관은 전문 개인정보보호책임자(CPO) 외에 기관별로 1명 이상의 전담 인력을 반드시 배치해야 한다.

예산 측면에서는 개인정보처리자가 전체 정보화 예산의 10% 이상을 개인정보 보호 예산으로 확보해야 한다. 이를 충족하는 기업에는 사고 발생 시 책임 경감, 공공기관 보호수준 평가 시 가점 등의 인센티브가 제공된다. 2028년까지는 7% 이상~10% 미만, 10% 이상 구간으로 나눠 차등 적용한다.

개인정보 보호법 위반에 따른 과징금을 실제 피해자 구제에 활용하는 방안도 검토된다. 과징금 부과액은 2021년 82억원에서 2024년 611억원으로 급증했으나 현재 전액 국고로 귀속돼 피해자 권리 구제에는 쓰이지 못하고 있다. 이에 ‘개인정보 피해구제 기금’ 도입을 위한 제도개선 연구가 추진된다.

위원회는 현재 규제 체계가 최소한의 법적 의무 사항에 그치고 있어, 기업이 추가적인 보호 조치를 취할 유인이 부족하다고 판단했다. 이에 따라 주요 개인정보처리시스템에 대해 외부 노출 취약점을 제거하고, 이상 징후를 탐지하는 공격표면 관리 강화에 나선다.

또 평소 선제적으로 개인정보 보호 조치를 취한 기업에는 과징금 감경 등 인센티브를 제공하는 체계를 마련한다. 이미 유출된 개인정보가 웹, 딥웹, 다크웹 등에서 불법 유통되는지를 탐지하고, 관련 정보가 발견되면 해당 사업자 및 유관기관에 이를 공유해 2차 피해를 막는 시스템도 도입한다.

개인정보보호관리체계(ISMS-P) 인증 제도는 신종 해킹 기법을 고려해 현장 심사 중심으로 개편하며, 핵심 공공시스템과 이동통신서비스 분야에는 단계적으로 인증 의무화를 추진한다. 또한 기업 최고경영자(CEO)에게 개인정보 보호와 관련한 위험관리 및 내부통제에 대한 최종 책임이 있음을 명확히 하고, CPO 지정 신고제 도입, 연 1회 이사회 보고, 직무 여건 보장 등 관련 법적 권한과 역할을 강화한다.

현재 공공기관에만 의무화된 ‘개인정보 영향평가’를 민간에서도 활성화할 수 있도록 대상과 방법, 기준을 구체화하고, 자율적 수행 기반도 마련한다. 대규모 수탁사나 솔루션 공급자 등 법적 사각지대에 대한 관리도 강화한다. 또 ‘개인정보 안심설계 인증제’를 도입해 중소 사업자 등에게는 보호 수준이 검증된 제품 사용을 권장한다.

같은 방식의 해킹 피해가 반복되는 기업에는 과징금 가중 등 제재를 부과하고, 징벌적 과징금 제도 도입 등 제재의 실효성 강화도 검토한다. 개인정보 유출로 중대한 피해가 예상되는 경우에는, 실제 유출된 사람뿐 아니라 유출 가능성이 있는 모든 사람에게도 통지를 확대한다.

시장 감시 및 권리 구제를 위한 ‘개인정보 옴부즈만’도 설치된다. 전문 인력 양성과 함께 신기술·신제품으로 인한 개인정보 침해 위협에 선제 대응함으로써 정보주체 권리 보호 기반을 강화할 계획이다. 또 일정 규모 이상의 기업을 대상으로, 개인정보 유출 등 사고에 대비한 보험 상품 개발과 제도 개선을 유도해 손해배상 보장제도의 실효성을 높이고 자율적 피해 구제를 확대할 방침이다.

위원회는 이번 강화 방안이 산업 현장에서 실제로 적용될 수 있도록 사업자 설명회와 의견수렴 절차를 거쳐 합리적 기준을 설정하고, 이를 법령과 고시에 반영할 계획이다. 대부분의 법률 개정 사항은 2025년 중 개정안을 마련해 2026년 상반기 국회에 제출하며, 중장기 검토가 필요한 사안은 이해관계자 의견수렴을 거쳐 2026년까지 입법안을 준비한다. 합리적 기준을 설정했음에도 불구하고 이를 지키지 않아 유출 사고가 발생한 경우에는 원인과 책임에 따라 엄정히 제재할 방침이다.

고학수 개인정보보호위원장은 “이번 사고를 계기로 대규모 개인정보를 처리하는 사업자들이 개인정보 보호를 고객의 신뢰를 얻기 위한 기본 책무이자 전략적 투자로 인식하길 바란다”고 말했다.

홍주연 기자
jyhong@chosunbiz.com