개인정보보호위원회는 SK텔레콤 침해사고 등 대규모 개인정보 유출 사고를 예방하기 위한 ‘개인정보 안전관리 체계 강화 방안’을 마련해 추진한다고 11일 밝혔다.
개인정보위는 이번 방안을 마련하기 위해 지난 5월부터 전담반을 구성하고 관련 전문가 및 사업자 간담회, 국내외 자료 조사를 진행했다. 그 결과, 현행 규제시스템의 문제점과 기업의 인식‧관행, 인력‧예산의 투자 규모, 피해자에 대한 권리구제 실효성 등을 종합적으로 분석해 개선방향을 도출했다.
개인정보위는 “SK텔레콤 고객정보 유출 사고에서 드러난 제도적‧기술적 미비점을 보완한다”며 “사후 땜질식 처방과 제재만으로 해킹 기술 대응이 어렵기에 기업이 적극적‧선제적인 안전조치를 할 수 있도록 인센티브 중심 체계 마련이 핵심 방향”이라고 설명했다.
현행 규제시스템은 개인정보처리자가 반드시 준수해야 하는 최소한의 법적 의무 사항을 중심으로 규율하고 있다. 기업이 적극적으로 보호조치를 해야 할 제도적 유인이 부족한 상황이다. 게다가 유출사고가 발생할 때마다 각종 규제를 추가하기에 해킹 기술을 따라잡기 벅차다.
사고 발생 시 엄정한 제재 기조는 유지하면서 사전적 예방을 중심으로 하는 개인정보 안전관리 체계로의 패러다임 전환이 요구된다.
이에 개인정보위는 주요 개인정보처리시스템을 대상으로 외부에 노출된 취약점을 제고하고 이상징후를 탐지하는 등 공격표면관리를 강화한다. 이어 주요 정보에 대한 암호화 적용 확대 등 선제적 조치를 정례화한다.
공격표면관리는 공격자가 노릴 수 있는 취약점, 경로 등을 지속적으로 식별‧분석‧모니터링해 보안 위협을 축소하는 활동이다.
이어 평소 개인정보 보호를 위한 선제적‧적극적 보호조치를 한 기업은 과징금 감경 등 인센티브 제공 체계 정비를 추진한다. 아울러 이미 유출된 개인정보가 웹, 딥웹, 다크웹 등에서 불법 유통되는지 여부를 탐지해 2차 피해 예방을 적극 지원한다.
실효성에 대해 지적이 이어진 ‘개인정보보호 관리체계(ISMS-P)’ 인증 제도는 신종 해킹기법을 고려한 현장심사(취약점 점검, 모의해킹 등) 중심으로 인증체계를 고도화한다. 사고기업 대상으로도 사후관리를 강화한다.
국민에게 큰 영향을 미치는 핵심 공공시스템과 이동통신서비스 등은 단계적 의무화 및 전반적인 인증 품질 향상을 위한 제도 개선도 추진한다.
기준 충족 시 책임 경감 등 인센티브 제공
개인정보위는 개인정보 보호 분야의 투자 확대를 위해 구체적 기준을 제시한다. 관련 기업과 공공기관이 기준 충족을 위해 노력한다면 다양한 인센티브 제공을 검토‧추진한다.
또 기업의 CEO에게 최종적인 책임이 있음을 명확히 하고 개인정보책임자(CPO)가 총괄해 내부통제 할 수 있도록 △지정 신고제 도입 △연 1회 이사회 보고 △직무 여건 보장 등 법적 권한과 역할을 강화한다. 아울러 개인정보 영향 평가가 민간에서도 활성화 될 수 있도록 자율적 수행 기반을 마련한다.
이외에도 수탁사 또는 솔루션 공급자 등과 같은 법적 사각지대를 강화하고 개인정보 안심설계 인증제를 도입한다. 해당 인증제를 통해 중소 사업자 등에게 개인정보 보호 수준이 검증된 제품을 사용하도록 권장한다.
개인정보 유출 과징금, 피해자 구제에 활용
개인정보위는 엄정한 처분과 함께 권리구제 실질화 작업을 진행한다. 먼저 개인정보 유출 사고 반복 기업은 과징금 가중 등의 처분이 이뤄지며 중장기적으로는 징벌적 과징금 등 제재 처분의 실효성 제고를 위한 검토를 추진한다.
또 개인정보 유출로 인해 중대한 피해가 예상되는 경우 유출 가능성이 있는 모든 사람에 대해 통지를 확대하는 등 조치를 강화한다.
개인정보 보호법 위반에 따른 과징금은 실제 유출사고 피해자 구제에 활용하는 방안 등 피해구제 강화 방안을 검토‧추진한다. 이외에도 개인정보위는 시장 감시와 권리구제 지원을 위한 ‘개인정보 옴부즈만’을 설치한다.
개인정보 옴부즈만은 학계‧시민단체‧일반국민 등 15인 이내로 구성된다. 이어 전문인력 양성 및 신기술‧신제품의 개인정보 침해 위협 선재대응 등에 나선다. 기업을 위해서도 다양한 보험상품 개발 및 개선 유도를 통해 손해배상 보장제도의 내실‧유연화와 자율적 피해구제 확산을 지원한다.
향후 개인정보위는 이번 방안이 산업 현장에서 실질적으로 적용될 수 있도록 사업자 설명회와 의견수렴을 통해 이행 가능한 합리적 기준을 명확히 설정할 계획이다. 이를 법령‧고시에 반영하거나 관련 예산을 확보하는 등 후속조치를 차질없이 추진할 방침이다.
고학수 개인정보위 위원장은 “이번 사고를 계기로 사업자들이 개인정보 보호를 위한 투자를 불필요한 비용이 아닌 고객의 신뢰 확보를 위한 기본적 책무이자 전략적 투자로 인식하길 바란다”며 “이를 통해 개인정보 보호에 대한 국민적 신뢰가 확산되길 기대한다”고 말했다.
