송경희 개인정보보호위원장이 개인정보 유출 대응 체계를 ‘사후 제재’에서 ‘사전 예방’ 중심으로 전환하겠다고 밝혔다. 개인정보 보호에 선제적으로 투자한 기업에는 인센티브를 주는 대신, 중대 사고를 반복한 기업에는 징벌적 과징금을 부과하겠다는 방침이다.
5일 서울 종로구 정부서울청사에서 열린 기자간담회에서 송 위원장은 “기업들이 미리 개인정보 보호에 투자해 안전한 체계를 갖추는 것이 가장 중요하다”며 “사전 예방에 나선 기업에는 확실한 인센티브를 주고, 반복적인 유출 사고가 발생한 기업에는 강력히 제재하겠다”고 말했다.
송 위원장은 “예방 중심이라고 해서 사전 규제를 늘린다는 뜻은 아니다”며 “규제의 효과가 비용보다 클 때만 신중히 검토할 것”이라고 했다. 그는 “아무리 대비해도 100% 막을 수는 없다”며 “노력한 기업은 그 점을 인정하고, 자발적 참여를 유도하는 체계를 만들겠다”고 설명했다.
위원회는 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 제도도 실효성을 높일 계획이다. 서면심사 위주였던 절차를 현장심사로 확대하고, 본심사 전 예비심사도 신설한다.
송 위원장은 “문제가 발견되면 인증을 취소하는 등 적극적인 조치를 취하겠다”며 “인증 후에는 매년 모의해킹이나 사후 점검을 실시할 것”이라고 밝혔다.
스타트업과 소상공인 등 정보보호 역량이 부족한 기업에는 교육과 컨설팅을 지원하는 사업도 추진한다. 일본·캐나다 등과 협력해 국제 공조 체계도 강화할 방침이다.
송 위원장은 인공지능(AI) 시대의 개인정보 보호 원칙도 재차 강조했다. 그는 “AI 서비스가 확산되는 시대에는 ‘신뢰’를 유지하면서 개인정보를 지키는 것이 가장 큰 과제”라며 “기업이 처음부터 개인정보 보호를 고려해 서비스를 설계할 수 있도록 ‘프라이버시 인증제’를 도입하겠다”고 말했다.
한편 개인정보보호위원회는 최근 SK텔레콤, KT, 롯데카드 등 주요 기업의 대규모 해킹 사건을 조사 중이다. 송 위원장은 “조사관 인력이 부족해 처리 속도가 늦어지는 측면이 있다”며 “사고 규모와 피해 영향을 감안해 인력 충원을 요청하고 있다”고 밝혔다.
