[아이티데일리] 잇따른 개인정보 유출 사고에 개인정보보호위원회가 제도 개선과 처분 체계 확립에 나선다. 공격표면관리(ASM) 강화, 암호화 적용 확대 등 보안 수준을 제고하는 한편 사고를 반복하는 기업에 대해서는 과징금을 가중하는 방안을 검토할 계획이다.

개인정보위는 11일 이 같은 내용이 담긴 ‘개인정보 안전관리 체계 강화 방안’을 발표했다.

이번 ‘개인정보 안전관리 체계 강화 방안’은 지난 4월 SK텔레콤 고객정보 유출 사고에서 드러난 제도적·기술적 미비점을 보완하고, 사후 처방과 제재만으로 발전하는 해킹 기술에 대응하기 어렵다는 문제 인식에서 시작됐다. 기업이 선제적인 안전조치에 나서도록 하는 인센티브 중심 체계 마련을 핵심으로 삼고 있다.

개인정보위는 이번 방안 마련을 위해 지난 5월부터 위원회 여러 부서가 참여하는 전담반을 구성하고 관련 전문가 및 사업자 간담회, 국내외 자료 조사 등을 진행했다. 이를 통해 현행 규제시스템의 문제점, 기업의 인식·관행 등을 종합 분석해 개선 방향을 도출했다.

개인정보위 고학수 위원장은 “이번 사고를 계기로 대규모 개인정보를 처리하는 사업자들이 개인정보 보호를 위한 투자를 ‘불필요한 비용’이 아닌 고객의 신뢰 확보를 위한 ‘기본적 책무’이자 ‘전략적 투자’로 인식하길 바란다”고 말했다.

먼저 개인정보위는 유사 사고 예방을 위한 선제적 제도 개선을 추진한다. 이러한 방향의 하나로 공격표면관리를 강화하기 위해 주요 개인정보처리시스템 대상 연 1회 모의해킹, 정보통신망 관리 시스템에 대한 취약점 점검을 제도화한다. 공격표면관리는 공격자가 노릴 수 있는 취약점을 지속 식별, 분서해 위협을 축소하는 활동을 뜻한다.

기업이 법정 의무 암호화 대상이 아닌 개인정보에 대해서도 추가적인 암호화를 적용할 경우, 해당 정보 유출 시 책임을 경감한다. 이상징후 탐지·차단 시스템(FDS) 등을 자발적으로 도입했을 시 이에 대한 인센티브를 제공한다.

또 다크웹 등에 불법 유통되는 개인정보를 사업자, 정보 주체와 신속 공유하기 위한 탐지·대응 체계를 강화한다. 개인정보 불법 유통자에 대한 개인정보 보호법상 처벌 근거 마련도 추진한다.

‘개인정보보호 관리체계(ISMS-P)’ 인증을 취득한 기업에서도 해킹 사고가 이어지며 제도가 유명무실하다는 비판이 제기됐다. 이에 개인정보위는 취약점 점검 등 현장 심사를 도입해 ISMS-P 인증을 고도화하고 사고기업 대상 사후관리를 강화한다.

개인정보 유출 사고에 따른 피해구제 방안도 마련한다. 개인정보 보호법 위반에 따른 과징금을 재원으로 피해자 구제를 지원하는 기금을 도입할 예정이다. 개인정보위가 처분한 과징금은 2022년 1,018억 원, 2023년 232억 원이었으며 지난해에도 611억 원 규모에 달했다.

이 밖에도 시민사회가 시장 감시, 제도개선 권고 등 정책 의견을 표명할 수 있도록 ‘개인정보 옴부즈만’을 설치한다. 개인정보 옴부즈만은 학계, 시민단체 및 일반 국민 중심으로 구성되며 반기별 1회 회의를 개최한다. 옴부즈만에서 회의 안건을 제시하며 개인정보위는 이를 검토해 필요시 개선 권고 등을 조치할 방침이다.

개인정보위 최장혁 부위원장은 “기존의 가중·감경 제도를 적극적으로 활용하면 충분히 효과를 거둘 것으로 본다”며 “징벌적 제도는 다른 법률과의 관계를 고려해 제도 연구를 거치는 등 장기적으로 추진할 계획”이라고 밝혔다.