개인정보 유출 사고 반복 기업에 ‘징벌적 과징금’

개인정보보호위원회가 고객 개인정보 유출이 반복된 기업을 대상으로 ‘징벌적 과징금’을 부과한다. 사진은 고학수 개인정보위원장이 지난 10일 서울 종로구 정부서울청사에서 열린 제20회 전체회의에서 발언하고 있는 모습 [연합]

앞으로 기업이 개인 정보 유출 사고를 반복적으로 낼 경우, 더 강력한 과징금 제재를 받게 된다. 개인정보보호위원회가 고객 개인정보 유출이 반복된 기업을 대상으로 ‘징벌적 과징금’을 부과한다.

또 개인정보 관리의 ‘최종적인 책임’이 기업 대표(CEO)에 있다는 점도 명문화된다. 개인정보 관련 투자를 확대한 기업에 대해서는 인센티브를 제공하는 등 기업의 참여를 유인할 대책도 함께 마련된다. ▶관련기사 10면

개보위는 11일 정부서울청사에서 간담회를 열고, 이 같은 내용이 담긴 ‘개인정보 안전관리 체계 강화 방안’을 발표했다.

지난 4월 SK텔레콤 유심 해킹 사태 이후, 제도적·기술적 보완에 대한 필요성이 대두한 데 따른 후속 조치다. 이재명 대통령도 최근 열린 수석보좌관회의에서 보안 사고 반복 기업에 대한 징벌적 과징금 등 강력한 대책을 요구한 바 있다.

우선 법률과 고시 개정을 통해 개인정보 유출 사고가 반복된 기업에 과징금 가중 등 엄정 제재를 가한다. 중장기적으로는 징벌적 과징금 등 제재 처분의 실효성을 높이는 방안을 검토한다. 개인정보 유출 시 본인뿐만 아니라 유출 가능성이 있는 모든 사람에 통지를 확대해 추가 피해 확산을 방지한다.

개인정보보호법에 따라 기업이 납부하는 과징금은 피해자 구제에 쓰인다. 과징금 부과액은 ▷2021년 82억원 ▷2022년 1018억원 ▷2023년 232억원 ▷2024년 611억원 등이었다. 개인정보 사고에 대비하기 위해 일정 규모 이상의 기업을 대상으로 한 보험 상품도 개발된다.

또 위험 관리, 내부 통제 등 최종책임자로서 책임이 CEO에 있음이 명시된다. 개인정보보호책임자(CPO)에 대해서는 개인정보위에 지정 신고, 연 1회 이사회 보고, 직무 여건 등 실질적인 권한을 보장한다.

아울러 개인정보 보호 분야 인력, 예산 등 투자 관련 ‘최소 기준’을 명확히 하고, 이를 충족한 기업에는 인센티브를 제공한다.

세부적으로 ▷매출 1500억원 이상 ▷개인정보 100만명 이상 처리 ▷상급종합병원 등 약 700개 기업에 대해서는 CPO를 제외한 기관별 1명 이상의 개인정보 전담 이력 배치, 전담 조직 구성 및 운영을 규정했다.

개인정보처리자가 전제 정보화 예산의 10% 이상을 개인정보 보호 예산(정보 보호 예산 포함)으로 확보하는 경우에도 인센티브가 제공된다. 민간 기업은 사고 발생 시 책임 경감, 공공기관은 보호 수준 평가 등에 반영된다.

이외에도 기술적으로 정보보호 및 개인정보보호 관리 체계(ISMS-P) 인증 체계 고도화와 단계적 의무화, 비정상적인 인증과 개인정보 다운로드 시도 등 이상 징후 탐지, 주요 정보에 대한 암호화 적용 확대 등 선제 조치를 정례화한다.

고학수 개인정보위원장은 “SKT 유심 해킹 사태를 계기로 대규모 개인정보를 처리하는 사업자들이 개인정보보호를 위한 투자를 불필요한 비용이 아니라 ‘기본적 책무’로 인식하길 바란다”고 말했다. 고재우 기자