[정책탐구생활] “소 잃기 전에 외양간 살핀다”… 개인정보 보호체계 대개편
개인정보보호법 통해 기업·기관 책임 확대
투자 시 과징금 감경·예방조치에는 포상도
대규모 정보처리기관 관리체계 인증 의무화
지난해는 국민생활과 밀접한 통신사, 카드사, 온라인 플랫폼 등의 해킹사고가 끊이지 않았던 한해였다. 허술하고 부실한 보안 관리와 더불어 개인정보 보호를 비용으로 인식하는 기조로 인해 외부인, 해커가 손쉽게 서버에 침입하고 정보에 접근하는 사례가 반복됐다.
게다가 이같은 사고가 발생한 기업들이 큰 규모였던 탓에 개인정보 유출 규모도 그만큼 커질 수밖에 없었다. 아울러 인공지능(AI)·디지털을 활용한 첨단기술 발전으로 침해사고 유형도 다양해지고 있어 정보보호에 대한 중요도 역시 점점 높아지고 있다.
이에 정부는 개인정보 보호·관리체계를 사후 대응에서 사전 예방으로 전환하는 것을 역점 과제로 삼고 정보보호 수준평가와 인증체계도 개선하는 방안을 추진 중이다. 이를 통해 개인정보를 처리하는 기관과 기업이 미리 침해사고 위험에 대응하도록 유도하고 중대한 유출 사고에 대해서는 엄중한 대응을 하겠다는 방침이다.
◇보호법 개정안, 징벌적 과징금·개인정보처리자 책무 강화 골자
개인정보보호위원회는 지난해 말 침해사고를 사전에 예방하고 기업·기관의 개인정보 보호책임을 강화하기 위한 목적으로 ‘개인정보보호법’ 개정에 나섰다.
개정안은 개인정보 침해행위에 엄정한 제재를 가해 억지력을 확보하고 사전 예방 성격의 투자 촉진과 책임자의 권한·독립성을 강화하는 내용을 골자로 하며 국회 본회의 의결을 거쳐 지난달 3일 국무회의에서 공포, 오는 9월 11일 시행 예정이다.
자세한 내용을 살펴보면 제재 처분의 실효성을 높이기 위해 반복적 또는 중대한 침해사고가 발생한 경우 전체 매출액의 3% 이하에서 최대 10%로 확대해 징벌적 과징금을 부과하도록 하는 특례를 지정했다.
징벌적 과징금은 최근 3년간 고의 또는 중대한 과실로 위반행위를 반복하거나 고의·중대 과실로 1000만명 이상의 피해 초래, 시정명령 불이행으로 인한 개인정보 유출사고가 발생하는 경우 적용되도록 했다.
매출액 산정 기준은 위반행위가 있었던 연도의 직전 3개 사업연도의 연평균 매출에서 해당사업연도의 직전 연도 매출액을 추가해 둘 중 큰 금액으로 산정토록 해 책임에 걸맞은 제재 수준을 확보했다.
개인정보위는 보호법 위반으로 징수한 과징금이 피해를 입은 피해자들의 구제·지원에 활용되도록 기금을 신설하고 사고를 낸 기업이 자발적으로 시정 방안을 제시하면 이를 의결해 신속한 피해회복을 도모하는 ‘피해회복형 동의의결’을 도입한다.
사전 예방을 위해 예산·인력·설비·장치 등의 투자·운영을 활성화한 경우에는 과징금을 감경해줌으로써 기업·기관의 개인정보 보호 투자를 유도했다. 단 고의·중과실로 인한 침해사고의 경우 감경 대상에서 제외된다.
또 개정안에 맞춰 투자 여력이 부족한 창업·중소·영세기업에 모니터링과 개선 유도 등 안전조치를 돕고, 유출사고 발생 시 즉시 시정하는 경우 처분 부담도 줄여준다는 방침이다.
유출사고 발생 시 개인정보처리자의의 책무도 강화했다. 그동안 침해사고가 터지면 ‘유출 등이 됐음을 알았을 때’에만 정보주체에게 알리도록 해 유출 가능성이 있어도 기업·기관이 통지를 하지 않는 상황이 발생했다.
이에 개정안은 피해를 입은 정보주체가 사고 발생 초기에 신속하게 대응할 수 있도록 ‘유출 등의 가능성이 있음을 알게 되었을 때’에도 지체 없이 통지하도록 의무화했다.
개인정보 분실·도난·유출로 제한됐던 통지·신고 대상도 위조·변조·훼손까지로 확대해 신속히 대응토록 했으며 유출 통지 시 정보주체가 할 수 있는 손해배상 청구·분쟁조정 등의 피해구제 방법도 공지하도록 했다.
개인정보 처리·보호에 대한 인식 확대와 기업·기관의 책임 강화를 위해 사업주 또는 대표자(CEO)를 개인정보 처리 및 보호에 관한 최종책임자로 규정해 관리·감독 의무를 명확히 부여했다.
일정 규모가 있는 개인정보처리자에는 개인정보보호책임자(CPO) 지정·변경·해제 과정에서 이사회 의결 후 개인정보위에 신고하도록 의무화했다.
CPO의 역할도 개인정보 보호에 필요한 전문 인력 관리, 예산 확보 업무를 수행하도록 확대하고 대표자와 이사회에 관련 사항을 보고하는 역할도 부여했다.
◇공공기관부터 관리 확대… 과실에는 엄벌, 예방에는 포상
개인정보위는 사전예방 중심 개인정보 보호체계가 빠르게 자리 잡도록 개인정보를 대규모로 처리하는 공공기관부터 관리에 나서기로 했다.
개인정보 처리가 많은 공공시스템을 집중관리시스템으로 편입해 강화된 안전조치를 적용하도록 했으며 집중관리시스템에 지정된 공공시스템은 취약점 점검과 외부 전문가를 활용한 모의해킹을 연 1회 시행할 예정이다.
1만명 이상 고유식별정보를 처리하는 공공기관을 대상으로 진행하는 안전관리 실태 점검도 형식적 점검에서 탈피해 실효성을 높였다. 고유식별정보 유형, 처리 규모 등을 바탕으로 위험 정도를 파악해 대상을 선정하고 점검 항목 개선과 더불어 구체적인 증빙자료를 제출하도록 했다.
사후 제재도 강화해 인적 과실로 인한 개인정보 유출이 발생할 경우 재발방지와 주의 촉구 등을 넘어 적극적 시정명령이 이뤄지도록 했다. 아울러 ‘공공기관 개인정보 보호수준 평가’에서 유출 사고에 대한 감점 최대치를 10점에서 20점으로 올렸다. 사후 대응이 미흡한 경우에도 최대 5점의 감점을 부여하도록 했다.
또 평가 지표에 ‘개인정보 유출 등 사고 예방과 대응 노력’을 신설해 모의해킹 등 선제적 예방 조치를 평가에 반영하고 기관장의 보호 노력을 평가하는 항목의 배점도 높였다.
평가 결과가 우수한 기관과 담당자에 대해서도 인센티브와 포상을 늘리고, 기관 자체 포상도 활성화하도록 지원해 개인정보 보호를 독려할 계획이다.
◇요식행위 막는다… ISMS·ISMS-P 인증 기준 차등화·심사 방식 개편
기업·기관이 구축·운영 중인 개인정보·정보보호 체계의 적합성을 인정하는 ‘정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P)’ 인증도 전면 개편한다. 최근 인증기업들이 연이은 침해사고를 겪으면서 인증제도의 효과가 떨어지고 형식적으로 운영되고 있다는 우려의 목소리 때문이다.
개인정보위와 과학기술정보통신부는 인증 대상과 기준, 심사방식과 품질확보, 사후관리 등 제도 전반을 개편한 ‘정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안’을 발표했다.
그동안 자율적으로 운영해오던 개인정보 보호(ISMS) 인증을 공공·민간분야에서 파급력이 큰 대규모 개인정보처리자는 의무적으로 인증 받도록 해 실효성 있는 관리체계를 구축한다는 방침이다.
인증 의무화는 △주요 공공시스템운영기관 △이동통신사업자 △본인확인기관 △매출액 및 개인정보 처리규모를 고려한 대규모 개인정보처리자 등을 대상으로 하며 단계적으로 확대한다.
기업·산업군의 파급력과 무관하게 적용됐던 획일적인 인증 기준도 위험 기반으로 차등화한다. ‘표준인증’과 ‘간편인증’으로 나눠졌던 인증체계에 국민생활에 파급력이 큰 기관·기업을 대상으로 하는 ‘강화인증’을 신설해 3단계로 재편하고 주요 보안위협 사례와 주요국 보안 요구 사항을 참조해 개발한 기준과 심사방식을 적용한다.
또 인증대상 서비스와 관련된 장비, 시설 등은 빠짐없이 포함되도록 인증범위도 단계적으로 확대한다. 외부 인터넷과 연결돼 공격 경로로 활용될 가능성이 있는 디지털 자산은 필수로 포함되도록 했다.
인증 심사도 서면에서 현장 중심으로 바꿔 실질적 보안 상태를 확인하고 미흡한 기업을 걸러낼 수 있도록 개편한다. 예비심사에서 확인해야 할 인증 기준을 점검하고 본 심사를 진행할지 여부를 결정해 부실한 관리체계를 개선하도록 했다.
취약점 진단·모의침투 등 기술심사 방식도 도입하고 심사투입 인력과 기간을 확대해 정밀하고 광범위하게 점검이 이뤄지도록 할 계획이다.
인증 이후에도 보안관리가 이뤄지도록 상시 점검과 사후관리도 강화한다. 중대 결함 기준도 다시 마련해 이를 보완하지 않는 기관·기업은 인증취소를 진행한다. 심사품질 제고를 위해 심사기관의 책임 강화와 역량 개발도 나선다. 인증심사 후 신뢰도 조사를 통해 부실 심사를 막는다.
정부는 관련 시행령·고시 등의 개정과 예산 확보 등 후속 조치를 수행하고 인증 사후 관리는 하반기, ISMS-P 의무화와 인증 차등화는 내년부터 시행되도록 추진할 예정이다.
이한빛 기자 hblee@viva100.com