개인정보 안전 관리 강화 방안 나왔다...CEO 책임 명확화

2025-09-11     황치규 기자
고학수 개인정보보호위원회 위원장이 9월 10일 오후 서울 종로구 정부서울청사에서 개최된 2025년 제20회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다. [사진: 개인정보위]

[디지털투데이 황치규 기자]개인정보보호위원회(개인정보위)는 4월 발생한 SK텔레콤 고객정보 유출 사고 같은 대규모 개인정보 유출 사고를 예방하기 위한 개인정보 안전관리 체계 강화 방안을 마련해 추진한다고 11일 밝혔다.

개인정보위는 지난 5월부터 위원회 여러 부서가 참여하는 전담반을 구성하고, 관련 전문가 및 사업자 간담회, 국내외 자료 조사 등을 통해 개선 방안을 도출했다.

개인정보위에 따르면 현행 규제시스템은 개인정보처리자가 반드시 준수해야 하는 최소 법적 의무 사항을 중심으로 규율하고 있고, 기업이 이보다 더 추가적이고 적극적인 보호조치를 해야 할 제도적 유인이 부족한 상황이다. 또 급속히 발전하고 있는 해킹 기술을 고려할 때, 유출사고 발생시마다 각종 규제를 추가하는 기존 방식으로는 신종 해킹기법에 유연하게 대응할 수 있는 예방적 보호 체계 마련이 곤란하고, 기업이 분야별 위험도에 상응하는 안전조치를 선제적으로 채택 시행하는 것에 일정한 한계가 있어 왔다. 

이에  개인정보위는 이번 SKT 고객정보 유출 사고에서 드러난 바와 같이 국민 생활에 밀접한 대규모 정보시스템 중에서 이미 해킹이 이루어졌거나 악성 프로그램이 설치되어 있을 가능성을 고려해 유사 사고 예방을 위한 기술적 조치를 우선 추진할 방침이다.

최고경영자(CEO) 책임 명확화 및 인력/예산 투입 기준 등 상시적, 전사적 내부통제 강화를 위한 방안과 엄정한 조사, 처분 체계와 피해자 권리구제 실질화 등을 위해 필요한 다양한 과제를 발굴해 시행해 나가기로 했다.

구체적으로 개인정보위는 주요 개인정보처리시스템을 대상으로 외부에 노출된 취약점을 제거하고 이상징후를 탐지하는 등 공격표면관리를 강화하고, 주요 정보에 대한 암호화 적용 확대 등 선제적 조치를 정례화한다.

평소 개인정보 보호를 위한 선제적, 적극적 보호조치를 한 기업에 대한 인센티브 제공(과징금 감경 등) 체계 정비를 추진한다.

이미 유출된 개인정보가 웹, 딥웹, 다크웹 등에서 불법 유통되는지 여부를 탐지하고, 관련 정보 발견시 해당 사업자 및 유관기관에 신속히 공유해 유출경로 확인 및 차단조치 등 2차 피해 예방을 적극 지원한다.
  
 개인정보 보호 수준을 객관적으로 평가, 인증하는 ‘개인정보보호 관리체계(ISMS-P)’ 인증 제도는 신종 해킹기법을 고려한 현장심사(취약점 점검, 모의해킹 등) 중심으로 인증체계를 고도화하고 사고기업 대상 사후관리를 강화한다. 장기적으로는 핵심 공공시스템, 이동통신서비스 등 대상 단계적 의무화 및 전반적인 인증 품질 향상을 위한 제도 개선도 추진한다.

개인정보 보호 분야 투자(인력/예산) 확대를 위한 구체적 기준을  제시하고, 관련 기업이나 공공기관에서 이러한 기준을 충족하기 위해 어느 정도 노력하였는지 여부에 따라 다양한 인센티브 제공을 검토, 추진한다.

 기업 최고경영자(CEO)에게 개인정보 보호 관련 위험관리 및 내부통제에 관한 최종적인 책임이 있음을 명확히 하고, 실질적인 관리주체인 개인정보보호책임자(CPO)가 자율성과 책임성을 갖고 여러 부서 개인정보 처리에 관한 사항을 총괄, 내부통제 할 수 있도록 지정 신고제 도입, 연 1회 이사회 보고, 직무 여건 보장 등 법적 권한과 역할을 강화한다.

이외에도 대규모 수탁사(클라우드 서비스 사업자 등) 또는 솔루션 공급자 등과 같은 법적 사각지대 관리를 강화하는 한편, ‘개인정보 안심설계 인증제 도입을 통해 중소 사업자 등에게 개인정보 보호 수준이 검증된 제품을 사용토록 권장함으로서 보안역량 제고를 추진한다.
  
같은 방식으로 반복적으로 해킹을 당하는 등 개인정보 유출 사고가 반복되는 기업은 과징금 가중 등 엄정한 제재를 통해 경각심을 가질 수 있도록 하고, 중장기적으로는 징벌적 과징금 등 제재 처분 실효성 제고를 위한 검토를 추진한다. 

개인정보 유출로 인해 중대한 피해가 예상되는 경우에는 실제 개인정보가 유출된 사람뿐만 아니라 유출 가능성이 있는 모든 사람에 대한 유출 통지를 확대하는 등 추가적 피해 확산을 방지하기 위한 조치를 강화한다.

개인정보 보호법 위반에 따른 과징금을 실제 유출사고 피해자 구제에 활용하는 방안 등 피해구제 강화 방안을 검토, 추진한다

  개인정보위는 이번에 발표한  개인정보 안전관리 체계 강화 방안이  산업 현장에서 실질적으로 적용될 수 있도록 사업자 설명회 및 의견수렴을 통해 이행 가능한 합리적 기준(인력, 예산, 인센티브 등)을 명확히 설정하고, 이를 법령, 고시에 반영하거나 관련 예산을 확보하는 등의 후속조치를 차질없이 추진할 예정이다.   

고학수 개인정보위 위원장은 “이번 사고를 계기로 대규모 개인정보를 처리하는 사업자들이 개인정보 보호를 위한 투자를 ‘불필요한 비용’이 아닌 고객의 신뢰 확보를 위한 ‘기본적 책무’이자 ‘전략적 투자’로 인식하길 바라며, 이를 통해 개인정보 보호에 대한 국민적 신뢰가 확산되기 바란다”라고 말했다.