개인정보위 "유출 사고 반복 기업에 과징금 더 세게 매긴다"

개인정보 안전관리 강화 방안 발표
선제적 보호 조치 ·투자 땐 인센티브
기업 CEO와 CPO 책임·역할 명문화

앞으로 개인정보 유출 사고가 반복적으로 일어나는 기업에는 과징금이 가중된다. 최고경영자(CEO)의 책임을 보다 강화하고 중장기적으로는 징벌적 과징금 제도 도입도 검토한다. 다만 평소 개인정보 보호 조치와 투자를 적극적으로 한 기업에 대해선 과징금 감경 등 인센티브를 제공하기로 했다.

고학수 개인정보보호위원회 위원장. 조용준 기자

개인정보보호위원회는 11일 잇단 대규모 개인정보 유출 사고를 막기 위해 이 같은 내용을 담은 '개인정보 안전관리 체계 강화 방안'을 추진한다고 밝혔다.

100만명 이상 대규모 개인정보를 처리하는 공공기관과 민간 사업자를 대상으로 하는 이번 방안에는 '당근과 채찍'이 동시에 들어갔다. 선제적으로 개인정보 보호에 힘쓰도록 유도하는 '인센티브'와 반복·중대 유출 사고를 방지하기 위한 엄정한 처분이 함께 담겼다.

징벌적 과징금 검토...CEO 책임 강화

같은 방식으로 여러 번 해킹을 당하는 등 개인정보 유출 사고가 반복되는 기업에는 과징금이 가중된다. 중장기적으로는 보호 조치를 위반해 큰 피해를 내거나 개인정보를 남용한 경우에는 징벌적 과징금을 매기는 방안을 검토하기로 했다.

CEO와 개인정보보호책임자(CPO)의 역할도 강화된다. 개인정보 리스크 관리와 내부 통제에 관해선 CEO가 최종 책임자로서 의무가 있다는 것을 명문화한다. CPO는 개인정보 보호 계획을 연 1회 이상 이사회에 보고하고, 이행결과를 점검하도록 명시한다.

또 개인정보 유출로 중대한 피해가 예상되는 경우 이미 유출된 사람뿐만 아니라 유출 가능성이 있는 모든 사람으로 유출 통지를 확대하는 등 추가 피해 확산을 막기로 했다. 유출된 개인정보가 다크웹 등에서 불법 유통되는지 여부를 탐지하고 유관 기관과 공조하는 등 2차 피해 예방을 적극 지원해야 한다.

개인정보위는 과징금을 재원으로 기금화해 실제 유출 사고 피해자 구제에 활용하는 방안을 검토한다. 지난해 과징금 부과액은 총 611억원에 달한다.

적극 보호·투자 시 과징금 깎아주고 인센티브

선제적 보호 조치를 정례화하는 방안도 추진된다. 보안 취약점 제거, 이상징후 사전 탐지, 암호화 적용 확대 등이 여기에 포함된다. 평소 선제적·적극적 보호 조치를 한 기업에 대해선 과징금 감경 등 인센티브를 제공한다.

기업과 기관에서 개인정보 보호를 위한 인력, 예산 등 투자를 활발히 한 경우에도 과징금 감경, 공공기관 평가 가점 등 다양한 인센티브를 검토하기로 했다.

인력 측면에서 전문 CPO를 지정해야 하는 대규모 처리자는 CPO를 제외하고 기관별 1명 이상의 개인정보 전담인력을 배치하거나 조직을 구성하도록 한다. CPO 지정 의무기관은 일반 기업을 비롯해 상급종합병원, 대학, 공공시스템 운영기관 등 700곳이 해당될 것으로 예상된다. 현재 전담인력 현황은 대기업의 경우 0.5명, 중견기업은 0.3명에 불과하다.

예산과 관련해선 2028년까지 전체 정보화 예산의 10% 이상을 개인정보 보호 예산으로 확보·운영한 경우 인센티브를 부여하는 방안을 내놨다. 2028년 전까지는 전체 정보화 예산의 7~10% 미만, 10% 이상인 경우로 세분화해 인센티브를 차등 적용할 계획이다.

개인정보위는 보호 인력과 예산, 인센티브 등과 관련한 기준을 명확히 설정하기 위해 사업자 설명회를 열 계획이다. 이후 이번 방안을 담은 법 개정안을 올해 안에 마련하고 내년 상반기 중 국회에 제출한다. 중장기 검토가 필요한 사항은 이해관계자 의견 수렴 후 내년까지 개정안 마련을 추진한다. 관련 예산을 확보하는 등의 후속 조치도 추진할 예정이다.

고학수 개인정보위 위원장은 "대규모 개인정보를 처리하는 사업자들이 개인정보 보호를 위한 투자를 '불필요한 비용'이 아닌 고객의 신뢰 확보를 위한 기본적 책무이자 '전략적 투자로 인식하길 바란다"며 "이를 통해 개인정보 보호에 대한 국민적 신뢰가 확산됐으면 한다"고 말했다.

김보경 기자 bkly477@asiae.co.kr