SKT 사태 계기 ‘개인정보 안전관리 체계’ 강화
관리 책임 CEO 명시, CPO 실질적 권한 보장
개인정보 투자, ‘기본적 책무’ 인식 전환 유로
관리 책임 CEO 명시, CPO 실질적 권한 보장
개인정보 투자, ‘기본적 책무’ 인식 전환 유로
 |
| 고학수 개인정보보호위원회 위원장. [개인정보보호위원회 제공] |
[헤럴드경제=고재우 기자] 앞으로 기업이 개인 정보 유출 사고를 반복적으로 낼 경우, 더 강력한 과징금 제재를 받게 된다. 개인정보보호위원회(개보위)가 고객 개인정보 유출이 반복된 기업을 대상으로 ‘징벌적 과징금’을 부과한다.
또 개인정보 관리의 ‘최종적인 책임’이 기업 대표자(CEO)에 있다는 점도 명문화된다. 개인정보 관련 투자를 확대한 기업에 대해서는 인센티브를 제공하는 등 기업의 참여를 유인할 대책도 함께 마련된다.
개보위는 11일 정부서울청사에서 간담회를 열고, 이 같은 내용이 담긴 ‘개인정보 안전관리 체계 강화 방안’을 발표했다.
지난 4월 SK텔레콤 유심 해킹 사태 이후, 제도적·기술적 보완에 대한 필요성이 대두한 데 따른 후속 조치다. 이재명 대통령도 최근 열린 수석보좌관회의에서 보안 사고 반복 기업에 대한 징벌적 과징금 등 강력한 대책을 요구한 바 있다.
우선 법률 및 고시 개정을 통해 개인정보 유출 사고가 반복된 기업에 과징금 가중 등 엄정 제재를 가한다. 중장기적으로는 징벌적 과징금 등 제재 처분의 실효성을 높이는 방안을 검토한다. 개인정보 유출 시 본인뿐만 아니라 유출 가능성이 있는 모든 사람에 통지를 확대해 추가 피해 확산을 방지한다.
개인정보보호법에 따라 기업이 납부하는 과징금은 피해자 구제에 쓰인다. 과징금 부과액은 2021년 82억원, 2022년 1018억원, 2023년 232억원, 지난해 611억원 등이었다. 개인정보 사고에 대비하기 위해 일정 규모 이상의 기업을 대상으로 한 보험 상품도 개발된다.
또 위험 관리, 내부 통제 등 최종책임자로서 책임이 CEO에 있음이 명시된다. 개인정보보호책임자(CPO)에 대해서는 개보위에 지정 신고, 연 1회 이사회 보고, 직무 여건 등 실질적인 권한을 보장한다.
 |
| [개인정보보호위원회 제공] |
아울러 개인정보 보호 분야 인력, 예산 등 투자 관련 ‘최소 기준’을 명확히 하고, 이를 충족한 기업에는 인센티브를 제공한다.
세부적으로 ▷매출 1500억원 이상 ▷개인정보 100만명 이상 처리 ▷상급종합병원 등 약 700개 기업에 대해서는 CPO를 제외한 기관별 1명 이상의 개인정보 전담 이력 배치, 전담 조직 구성 및 운영을 규정했다.
개인정보처리자가 전제 정보화 예산의 10% 이상을 개인정보 보호 예산(정보 보호 예산 포함)으로 확보하는 경우에도 인센티브가 제공된다. 민간 기업은 사고 발생 시 책임 경감, 공공기관은 보호 수준 평가 등에 반영된다.
이외에도 기술적으로 정보보호 및 개인정보보호 관리 체계(ISMS-P) 인증 체계 고도화 및 단계적 의무화, 비정상적인 인증 및 개인정보 다운로드 시도 등 이상 징후 탐지, 주요 정보에 대한 암호화 적용 확대 등 선제 조치를 정례화한다.
고학수 개보위원장은 “SKT 유심 해킹 사태를 계기로 대규모 개인정보를 처리하는 사업자들이 개인정보보호를 위한 투자를 불필요한 비용이 아니라 ‘기본적 책무’로 인식하길 바란다”고 말했다.
