[비즈니스포스트] 개인정보보호위원회가 정보 유출 사고를 반복하는 기업에 과징금을 가중하고 중장기적으로 징벌적 과징금을 도입하는 방안을 검토한다.

개인정보보호위원회는 SK텔레콤 고객정보 유출 사고와 같은 국민 생활에 큰 영향을 미치는 대규모 개인정보 유출 사고를 예방하기 위한 ‘개인정보 안전관리 체계 강화 방안’을 마련해 추진한다고 11일 밝혔다.
 

구체적으로 △유사사고 예방을 위한 선제적 제도 개선 △상시적 내부통제 강화 △엄정한 처분 및 권리구제 실질화 등이다.

주요 개인정보처리시스템을 대상으로 외부에 노출된 취약점을 제거하고 이상징후를 탐지하는 등 공격표면관리를 강화하며, 주요 정보에 대한 암호화 적용 확대 등 선제적 조치를 정례화한다.

평소 개인정보 보호를 위한 선제적·적극적 보호조치를 한 기업에 대한 과징금 감경 등 인센티브 제공 체계 정비를 추진한다.

유출된 개인정보가 웹, 딥웹, 다크웹 등에서 불법 유통되는지 여부를 탐지하고, 관련 정보 발견 때 해당 사업자 및 유관기관에 신속히 공유하여 유출경로 확인 및 차단조치 등 2차 피해 예방을 적극 지원한다.

개인정보 보호 수준을 객관적으로 평가·인증하는 개인정보보호관리체계(ISMS-P) 인증 제도는 신종 해킹기법을 고려한 현장심사 중심으로 인증체계를 고도화하고 사고기업 대상 사후관리를 강화한다. 

장기적으로는 핵심 공공시스템·이동통신서비스 등 대상 단계적 의무화 및 전반적 인증 품질 향상을 위한 제도 개선도 추진한다.

개인정보 보호 분야의 투자 확대를 위한 구체적 기준을 제시하고, 관련 기업이나 공공기관에서 이러한 기준을 충족하기 위하여 어느 정도 노력하였는지 여부에 따라 다양한 인센티브 제공을 검토·추진한다.

최고경영자에게 개인정보 보호 관련 위험관리 및 내부통제에 관한 최종적 책임이 있음을 명확히 하고, 개인정보보호책임자(CPO)가 개인정보 처리에 관한 사항을 총괄하여 내부통제 할 수 있도록 지정 신고제 도입, 연 1회 이사회 보고, 직무 여건 보장 등 법적 권한과 역할을 강화한다.

개인정보 영향평가를 민간에서도 활성화 될 수 있도록 대상·방법·기준 구체화, 평가기관 및 인력의 전문성 제고 등을 통해 자율적 수행 기반을 마련한다.

클라우드 서비스 사업자 등 대규모 수탁사 또는 솔루션 공급자 등과 같은 법적 사각지대 관리를 강화하고, 개인정보 안심설계 인증제 도입을 통해 중소 사업자 등에게 개인정보 보호 수준이 검증된 제품을 사용토록 권장해 보안역량 제고를 추진한다.

개인정보 유출 사고가 반복되는 기업은 과징금 가중 등 엄정한 제재를 통해 경각심을 가질 수 있도록 하고, 중장기적으로는 징벌적 과징금 등 제재 처분의 실효성 제고를 위한 검토를 추진한다. 

개인정보 유출로 인해 중대한 피해가 예상되는 경우에는 실제 개인정보가 유출된 사람뿐만 아니라 유출 가능성이 있는 모든 사람에 대한 유출 통지를 확대한다.

개인정보 보호법 위반에 따른 과징금을 실제 유출사고 피해자 구제에 활용하는 방안 등 피해구제 강화 방안을 검토·추진한다.

개인정보 옴부즈만을 설치하고 전문인력 양성 및 신기술·신제품의 개인정보 침해 위협 선제대응 등을 통해 정보주체의 권리구제 기반을 강화한다.

일정 규모 이상의 기업에서 개인정보 유출에 대비하기 위한 다양한 보험상품 개발 및 개선 유도를 통해 손해배상 보장제도의 내실화·유연화 및 자율적 피해구제 확산을 지원한다.

개인정보위 측은 “개인정보 안전관리 체계 강화 방안이 산업 현장에서 실질적으로 적용될 수 있도록 사업자 설명회 및 의견 수렴을 통해 이행 가능한 합리적 기준을 명확히 설정하고, 이를 법령 고시에 반영하거나 관련 예산을 확보하는 등의 후속조치를 차질 없이 추진할 예정”이라고 말했다. 조승리 기자