개인정보보호위원회는 선제적·적극적으로 개인정보 보호 안전조치를 한 기업에 대해 처벌 경감 등 인센티브를 제공하기로 했다.

또한 개인정보 보호 분야의 인력과 예산 기준을 마련하고, 사고 반복 기업에 대한 과징금 가중과 유출 가능성이 있는 자에게 통지 확대 등을 추진한다.

개인정보위는 지난 4월 18일 발생한 에스케이텔레콤(SKT) 고객정보 유출 사고와 같은 국민 생활에 큰 영향을 미치는 대규모 개인정보 유출 사고를 예방하기 위한 '개인정보 안전관리 체계 강화 방안'을 마련했다고 11일 밝혔다.

'개인정보 안전관리 체계 강화 방안'은 지난 SKT 고객정보 유출 사고에서 드러난 제도적·기술적 미비점을 보완하고, 기업이 더욱 적극적이고 선제적인 안전조치를 할 수 있도록 하는 인센티브 중심 체계 마련에 초점을 맞췄다.

이는 그동안의 사후 땜질식 처방과 제재만으로는 급속히 발전하는 해킹 기술에 적절하게 대응하기 어렵다는 문제 인식을 바탕으로 한다.

개인정보위는 이번 방안을 마련하기 위해 지난 5월부터 전담반을 구성하고, 관련 전문가와 사업자 간담회, 국내외 자료 조사 등으로 현행 규제시스템의 문제점과 기업의 인식·관행, 인력·예산의 투자 규모, 피해자에 대한 권리구제 실효성 등을 종합적으로 분석해 개선 방향을 설정했다.

개인정보위는 이번 SKT 고객정보 유출 사고에서 드러난 바와 같이 국민 생활에 밀접한 대규모 정보시스템 중에서 이미 해킹이 이뤄졌거나 악성 프로그램이 설치돼 있을 가능성을 고려해 유사 사고 예방을 위한 기술적 조치를 우선 추진할 방침이다.

◆ 유사사고 예방 위한 제도 개선

먼저, 주요 개인정보처리시스템을 대상으로 외부에 노출된 취약점을 제거하고 이상징후를 탐지하는 등 공격표면관리를 강화하는 한편, 주요 정보에 대한 암호화 적용 확대 등 선제적 조치를 정례화한다.

이어서 평소 개인정보 보호를 위한 선제적·적극적 조치를 한 기업에 대해 과징금 감경 등 인센티브 제공 체계 정비를 추진한다.

또한 이미 유출된 개인정보가 웹·딥웹·다크웹 등에서 불법 유통되는지 여부를 탐지하고, 관련 정보를 발견하면 해당 사업자와 유관기관에 신속히 공유해 유출경로 확인과 차단조치 등 2차 피해 예방을 적극 지원한다.

아울러 개인정보 보호 수준을 객관적으로 평가·인증하는 개인정보보호 관리체계(ISMS-P) 인증 제도는 신종 해킹기법을 고려해 취약점 점검과 모의해킹 등 현장심사 중심으로 인증체계를 고도화하고 사고기업 대상 사후관리를 강화한다.

◆ 상시적 내부통제 강화

개인정보 보호 분야의 인력과 예산 투자 확대를 위한 구체적 기준을 제시하고, 관련 기업이나 공공기관에서 이러한 기준을 충족하기 위해 어느 정도 노력했는지 여부에 따라 다양한 인센티브 제공을 검토해 추진한다.

이어서 기업 최고경영자에게 개인정보 보호 관련 위험관리와 내부통제에 관한 최종적인 책임이 있음을 명확히 한다.

이울러 실질적인 관리주체인 개인정보보호책임자가 자율성과 책임성을 가지고 여러 부서의 개인정보 처리에 관한 사항을 총괄해 내부통제할 수 있도록 지정 신고제를 도입하고, 연 1회 이사회 보고와 직무 여건 보장 등 법적 권한과 역할을 강화한다.

그동안 공공분야에서 대규모 개인정보처리스템을 신규 구축 또는 변경하는 경우 의무적으로 적용하고 있는 개인정보 영향평가를 민간에서도 활성화할 수 있도록 대상·방법·기준 구체화와 평가기관 및 인력의 전문성 제고 등으로 자율적 수행 기반을 마련한다.

◆ 엄정한 처분·권리구제 실질화

개인정보위는 같은 방식으로 잇달아 해킹당하는 등 개인정보 유출 사고가 반복되는 기업은 과징금 가중 등 엄정하게 제재하고, 중장기적으로는 징벌적 과징금 등 제재 처분의 실효성도 높인다.

또한 개인정보 유출로 중대한 피해가 예상되는 경우에는 실제 개인정보가 유출된 사람뿐만 아니라 유출 가능성이 있는 모든 사람에 대한 유출 통지를 확대하는 등 추가적 피해 확산을 방지하기 위한 조치를 강화한다.

개인정보 보호법 위반에 따른 과징금을 실제 유출사고 피해자 구제에 활용하는 방안 등 피해구제 강화 방안을 마련한다.

아울러 개인정보위는 시장감시와 권리구제 지원을 위한 개인정보 옴부즈만을 설치하고, 전문인력 양성과 신기술·신제품의 개인정보 침해 위협 선제대응 등으로 정보주체의 권리구제 기반을 강화한다.

이와 함께 일정 규모 이상의 기업에서 개인정보 유출과 같은 예상치 못한 사고에 대비하기 위한 다양한 보험상품 개발과 개선 유도로 손해배상 보장제도를 내실화·유연화하고 자율적 피해구제 확산을 지원한다.

개인정보위는 이번에 발표한 개인정보 안전관리 체계 강화 방안을 산업현장에서 실질적으로 적용할 수 있도록 사업자 설명회와 의견수렴으로 인력, 예산, 인센티브 등 이행할 수 있는 합리적 기준을 명확히 설정하고, 이를 법령·고시에 반영하거나 관련 예산을 확보하는 등 후속조치도 추진할 예정이다.

고학수 개인정보위원장은 "이번 사고를 계기로 대규모 개인정보를 처리하는 사업자가 개인정보 보호를 위한 투자를 불필요한 비용이 아닌 고객의 신뢰 확보를 위한 기본적 책무이자 전략적 투자로 인식하고 개인정보 보호에 대한 신뢰가 확산되기를 바란다"고 말했다.

문의: <총괄>개인정보보호위원회 신기술개인정보과(02-2100-3167), <내부통제>자율보호정책과(02-2100-3082), <조사·처분>조사총괄과(02-2100-3102), <분쟁조정>분쟁조정과(02-2100-3142)