[프라임경제] 잇따른 개인정보 유출 사고에 개인정보보호위원회(이하 개인정보위)가 개인정보 유출 사고가 발생하는 기업에는 과징금을 가중하고 중장기적으로 징벌적 과징금 도입을 검토한다. 반면 개인정보 보호를 위해 노력한 기업에는 인센티브를 준다는 계획이다.

개인정보위는 SK텔레콤(017670) 고객정보 유출 사고와 같은 국민 생활에 큰 영향을 미치는 대규모 개인정보 유출 사고를 예방하기 위한 '개인정보 안전관리 체계강화 방안'을 11일 발표했다.  

개인정보 안전관리 체계 강화 방안은 지난 SK텔레콤 고객정보 유출 사고에서드러난 제도적·기술적 미비점을 보완하는 한편, 기업이 보다 적극적·선제적인 안전조치를 할 수 있도록 하는 인센티브 중심 체계 마련이 핵심 방향이다. 

사후 제재 중심의 규제 체계를 사전 예방 중심으로 전환한다.

주요 개인정보처리시스템을 대상으로 외부에 노출된 취약점을 제거하고 이상징후를 탐지하는 등 공격표면관리를 강화하고, 주요 정보에 대한 암호화 적용 확대 등 선제적 조치를 정례화한다.

또 평소 개인정보 보호를 위한 선제적·적극적 보호조치를 한 기업에 대한 인센티브 제공(과징금 감경 등) 체계 정비를 추진한다.

아울러 이미 유출된 개인정보가 웹·딥웹·다크웹 등에서 불법 유통되는지 여부를 탐지하고, 관련 정보 발견시 해당 사업자 및 유관기관에 신속히 공유해 유출경로 확인 및 차단조치 등 2차 피해 예방을 지원한다.

개인정보 보호 수준을 객관적으로 평가·인증하는 '개인정보보호관리체계(ISMS-P)' 인증 제도는 신종 해킹기법을 고려한 현장심사 중심으로 인증체계를 고도화하고 사고기업 대상 사후관리를 강화한다. 

장기적으로는 핵심 공공시스템, 이동통신서비스 등 대상 단계적 의무화와 전반적인 인증 품질 향상을 위한 제도 개선도 추진한다.

개인정보 보호 분야의 투자 확대를 위한 구체적 기준을 제시하고, 관련 기업이나 공공기관에서 이러한 기준을 충족하기 위해 어느 정도 노력했는지 여부에 따라 다양한 인센티브 제공을 검토·추진한다.

기업 최고경영자(CEO)에게 개인정보 보호 관련 위험관리 및 내부통제에 관한 최종적인 책임이 있음을 명확히 한다. 실질적인 관리주체인 개인정보보호책임자(CPO)가 자율성과 책임성을 가지고 여러 부서의 개인정보 처리에 관한 사항을 총괄해 내부통제 할 수 있도록 지정 신고제 도입, 연 1회이사회 보고 등 법적 권한과 역할을 강화한다.

공공기관에만 의무였던 개인정보 영향평가는 민간으로 확대되고 대규모 수탁사와 솔루션 제공자까지 관리 범위가 넓어진다.

권리구제 실질화를 위해서는 동일한 방식으로 사고를 반복하는 기업에 징벌적 과징금을 검토한다. 중대한 피해가 예상될 경우 실제 유출자뿐 아니라 유출 가능성이 있는 사람에게까지 통지 의무를 확대한다. 과징금을 실제 유출사고 피해자 구제에 활용하는 방안 등 피해구제 강화 방안도 추진한다.

개인정보위는 개인정보 안전관리 체계 강화 방안이 산업 현장에서 실질적으로 적용될 수 있도록 사업자 설명회 및 의견수렴을 통해 이행 가능한 합리적 기준을 명확히 설정하고, 이를 법령·고시에 반영하거나 관련 예산을 확보하는 등의 후속조치를 차질없이 추진할 예정이다. 

고학수 개인정보위 위원장은 "이번 사고를 계기로 대규모 개인정보를 처리하는 사업자들이 개인정보 보호를 위한 투자를 불필요한 비용이 아닌 고객의신뢰 확보를 위한 '기본적 책무'이자 '전략적 투자'로 인식하길 바란다"며 "이를 통해 개인정보 보호에 대한 국민적 신뢰가 확산되기 바란다"고 말했다.