뉴스 트렌드 생활정보 International edition 매체

개인정보 유출 사고 반복 기업에 ‘징벌적 과징금’ 검토

입력 | 2025-09-11 14:54:37

개인정보위, ‘개인정보 안전관리 체계 강화 방안’ 마련
징벌적 과징금 등 실효성 제고 방안 검토…피해구제 기금 도입 추진
적극적 취약점 제거 및 이상징후 탐지 등 공격표면관리 강화
유출 가능성이 있는 이용자 통지 확대



 27일 서울시내에 위치한 SKT매장에 정보보호 관련 안내문이 붙어있다. SK텔레콤 해킹사고와 관련해 개인정보 유출 여부를 조사 중인 개인정보보호위원회의 제재 수위에 업계의 관심이 집중되고 있다. 개인정보위는 이날 전체회의에 SK텔레콤 관련 처분안을 상정한다. 회의는 비공개로 진행되며, 결과는 다음날 브리핑을 통해 발표된다. 다만 최종 결론이 미뤄질 경우 공식 발표 시점은 늦춰질 수 있다. 2025.08.27. [서울=뉴시스]


 앞으로 개인정보보호법 위반 기업에 부과된 과징금이 실제 피해자 구제에 직접 활용될 수 있는 길이 열린다. 아울러 개인정보보호 수준을 보다 정밀하게 평가하는 인증체계가 강화되고 해킹 대응력과 보안 투자 수준에 따라 기업이나 기관에 차등적인 인센티브가 제공되는 등 개인정보보호 정책 전반에 큰 변화가 예고된다.

개인정보보호위원회는 지난 4월 발생한 SK텔레콤 고객정보 유출 사고와 같은 국민 생활에 큰 영향을 미치는 대규모 개인정보 유출 사고를 예방하기 위해 ‘개인정보 안전관리 체계 강화 방안’을 마련해 추진한다고 11일 밝혔다.

이번 ‘개인정보 안전관리 체계 강화 방안’은 현재 제도적·기술적 미비점을 보완하는 한편, 그간의 사후 땜질식 처방과 제재만으로는 급속히 발전하는 해킹 기술에 적절하게 대응하기 어렵다는 문제 인식을 기반으로 기업이 보다 적극적·선제적인 안전조치를 할 수 있도록 하는 인센티브 중심 체계 마련을 핵심 방향으로 하고 있다.

개인정보위는 이번 방안을 마련하기 위해 지난 5월부터 위원회의 여러 부서가 참여하는 전담반을 구성했다. 이와 함께 관련 전문가 및 사업자 간담회, 국내·외 자료 조사 등을 통해 현행 규제시스템의 문제점과 기업의 인식·관행, 인력·예산의 투자 규모, 피해자에 대한 권리구제 실효성 등을 종합적으로 분석해 개선방향을 도출했다.

◆취약점·이상징후 선제적 확인·대응…개인정보보호 잘한 기업엔 인센티브도

먼저, 주요 시스템 외부에 드러난 취약점을 없애고 이상 징후를 살피는 등 ‘공격표면관리’를 강화하며 중요한 정보에는 암호화를 더 넓게 적용하는 등 선제적 조치를 정례화한다.

구체적으로 주요 개인정보처리시스템을 대상으로 연 1회 모의해킹을 실시하고 정보통신망 관리 시스템 등에 대한 취약점 점검과 보완을 제도화하는 방식이다. 또 대규모 개인정보처리시스템을 중심으로 불법적인 접근 등을 자동으로 분석하는 이상징후 탐지 활동도 강화한다.

아울러 개인정보보호 수준을 객관적으로 평가·인증하는 개인정보보호 관리체계(ISMS-P) 인증 제도는 신종 해킹기법을 고려한 현장심사(취약점 점검, 모의해킹 등) 중심으로 인증체계를 고도화하고, 사고기업 대상 사후관리를 강화한다. 장기적으로는 핵심 공공시스템·이동통신서비스 등 대상 단계적 의무화 및 전반적인 인증 품질 향상을 위한 제도 개선도 추진한다.

이와 함께 개인정보 보호 분야의 투자(인력·예산) 확대를 위한 구체적 기준을 제시하고 관련 기업이나 공공기관에서 이러한 기준을 충족하기 위해 어느 정도 노력했는지 여부에 따라 다양한 인센티브 제공을 검토, 추진한다.

현재 도출된 기준으로는 개인정보보호책임자(CPO) 지정 의무기관은 CPO제외 최소 1명 이상 개인정보 전담인력 배치, 전체 정보화 예산의 10% 이상을 개인정보 보호 예산으로 확보 등이다. 인센티브는 유출사고 발생시 책임 경감, 공공기관 개인정보 보호 수준 평가시 가점 등이 될 전망이다.

아울러 기업 최고경영자(CEO)에게 개인정보 보호 관련 위험관리 및 내부통제에 관한 최종적인 책임이 있음을 명확히 하고, 실질적인 관리주체인 CPO가 자율성과 책임성을 가지고 여러 부서의 개인정보 처리에 관한 사항을 총괄해 내부통제 할 수 있도록 지정 신고제 도입, 연 1회 이사회 보고, 직무 여건 보장 등 법적 권한과 역할을 강화한다.

◆수백억 달하는 과징금 피해자 구제에 활용

개인정보위는 법 위반에 대해 엄정히 처분하고 피해자 권리구제의 실질화를 적극 추진할 방침이다.

먼저, 같은 방식으로 반복적으로 해킹을 당하는 등 개인정보 유출 사고가 반복되는 기업은 과징금 가중 등 엄정한 제재를 통해 경각심을 가질 수 있도록 하고 중장기적으로는 ‘징벌적 과징금’ 등 제재 처분의 실효성 제고를 위한 검토를 추진한다.

아울러 개인정보 유출로 인해 중대한 피해가 예상되는 경우에는 실제 개인정보가 유출된 사람뿐만 아니라 유출 가능성이 있는 모든 사람에 대한 유출 통지를 확대하는 등 추가적 피해 확산을 방지하기 위한 조치를 강화한다.

특히, 개인정보보호법 위반에 따른 과징금을 실제 유출사고 피해자 구제에 활용하는 방안 등 피해구제 강화 방안을 검토, 추진한다. 개인정보위가 처분한 과징금은 2022년 1018억원, 2023년 232억원, 지난해 611억원에 달한다.

개인정보위는 과징금 등을 재원으로 활용해 개인정보 유출 사고 피해자의 실질적인 구제를 지원할 수 있도록 (가칭)개인정보 피해구제 기금‘ 도입을 위한 제도개선 연구를 추진한다.

이밖에 일정 규모 이상의 기업에서 개인정보 유출과 같은 예상치 못한 사고에 대비하기 위한 다양한 보험상품 개발 및 개선 유도를 통해 손해배상 보장제도의 내실화·유연화 및 자율적 피해구제 확산을 지원한다.

◆내년까지 법개정 추진…고학수 위원장 “’개인정보보호 투자=전략적 투자‘로 봐야”

개인정보위는 이번에 발표한 ’개인정보 안전관리 체계 강화 방안‘이 산업 현장에서 실질적으로 적용될 수 있도록 사업자 설명회와 의견수렴을 통해 이행 가능한 합리적 기준(인력, 예산, 인센티브 등)을 명확히 설정할 예정이다.

아울러 이를 법령·고시에 반영하거나 관련 예산을 확보하는 등의 후속조치를 차질없이 추진할 계획이다. 대부분의 법률 개정 사항은 연내에 개정안을 마련해 내년 상반기 국회에 제출될 예정이다. 중장기 검토가 필요한 사안에 대해서는 이해관계자 의견 수렴 절차를 거쳐 내년까지 개정안을 마련하는 방안이 추진된다.

고학수 개인정보위원장은 “이번 사고를 계기로 대규모 개인정보를 처리하는 사업자들이 개인정보 보호를 위한 투자를 ’불필요한 비용‘이 아닌 고객의 신뢰 확보를 위한 ’기본적 책무‘이자 ’전략적 투자‘로 인식하길 바라며, 이를 통해 개인정보 보호에 대한 국민적 신뢰가 확산되기 바란다”고 말했다.

[서울=뉴시스]

트랜드뉴스

지금 뜨는 뉴스