기업 보안 관련法 확 바뀐다

윤선영 입력 2021. 1. 26. 19:38 수정 2021. 1. 26. 22:06
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

정보보호 책임 강화.. 인증제로 부담 적게
과징금 연매출 3%로 높아질 듯
공시제도 의무화 법제화 추진도
적합여부 판단 ISMS-P인증 개정
기업의 정보보호 책임 강화를 위해 개정되는 법과 제도
기업의 정보보호 활동 부담을 줄이기 위해 개정되는 제도

지난 한 해는 데이터 3법(개인정보 보호법·정보통신망법·신용정보법 개정안) 시행으로 개인정보 활용의 물꼬가 트였던 시기였다. 가명처리 된 개인정보를 정보주체의 동의 없이 제3자 제공할 수 있게 됐다. 동시에 개인정보의 활용만큼 개인정보를 얼마나 안전하게 보호할 것인가도 중요한 문제로 떠올랐다. 개인정보보호위원회의 조사를 살펴보면 개인정보 유출 건수는 지난 2016년 이후 5300만건에 달하는 것으로 나타났다. 해킹, 관리 소홀 등이 주된 이유였다. 유출된 개인정보를 활용한 사이버 공격은 시간이 지날수록 지능적으로 변모하며 증가하고 있다. 올해는 개인정보의 활용과 보호 사이의 균형점을 찾는 동시에 기업의 정보보호와 관련한 의무와 책임이 강화될 것으로 보인다.

◇개인정보보호법 과징금 수조원 시대=개인정보보호위원회는 지난해 페이스북에 67억원의 과징금을 부과하고 형사고발 했다. 페이스북은 6년간 330만건 이상의 개인정보를 정보주체 동의 없이 제3자에게 제공해 역대 최고 과징금을 부과 받았다. 그러나 앞으로 개인정보보호법이 개정되면 페이스북의 글로벌 매출액(약 80조원)을 염두에 둘 때 기업에 부과되는 과징금 액수가 최대 2조4000억원대까지 높아질 수 있다.

현행 개인정보보호법은 개인정보 침해 행위를 한 사업자 등에게 위반행위 관련 매출액의 3% 범위 안에서 과징금을 부과하도록 명시하고 있다. 또한 5년 이하의 징역 또는 5000만원 이하의 벌금을 부과했다. 이러한 형벌 중심의 제재를 두고 개인을 과도하게 처벌하는 측면이 있다는 지적이 제기돼 왔다. 앞으로는 과징금을 높이는 쪽으로 처벌해 기업의 책임을 강화하는 방향으로 법이 개정된다. 올해 추진되는 개정안은 개인정보 침해사고를 낸 정보통신서비스 제공자 등에서 개인정보처리자 전체로 기업의 과징금이 온·오프라인 사업자의 구분 없이 기업 전체 연 매출액의 3%로 강화될 예정이다.

국민의 알 권리 보장과 기업의 정보보호 투자 촉진을 목표로 시행되고 있는 정보보호 공시제도의 의무화도 법제화 될 예정이다. 국회에서는 일정 규모 이상의 기업에 정보보호 공시를 의무화하도록 규정하고, 공시 미이행시 1000만원 이하의 과태료를 부과하는 법안을 추진 중이다. 각 기업이 진행하는 정보보호 관리 수준이 공개될 수 있는 제도인 만큼 기업의 정보보호 책임이 한층 강화될 것으로 보인다.

지난해 12월 개정·시행된 소프트웨어 진흥법 내에는 소프트웨어 개발보안과 관련한 정의 및 개발 보안 진흥 규정이 마련됐다. 생명 및 신체 위험과 관련해 소프트웨어 안전의 개념을 정의하고 소프트웨어 안전 확보를 위한 조항이 추가됐다. 소프트웨어 위험 요소를 선제적으로 파악하고 진단해 소프트웨어 개발단계에서부터 보안을 고려하는 '시큐어 코딩'이 한층 강화될 것으로 점쳐진다.

성경원 SK인포섹 컨설팅사업그룹장은 "매년 변화하는 정보보호 관련 법과 규제에 기업이 얼마나 체계적으로 대응하느냐가 기업의 경쟁력을 좌우할 수 있다"며 "특히 개인정보보호에 대한 기업의 책임이 한층 강화되는 만큼 이에 대비한 보안 전략 수립이 요구된다"고 말했다.

◇인증 제도 부담↓…효과적인 정보보호 활동 가능=현장에서 지속적으로 개선을 요구해 온 정보보호 관련 제도 역시 올해 보완·완화된다. 그동안에는 정보보호 활동에 관심을 갖고 있는 기업일지라도 제도의 복잡성, 중복성 등으로 부담을 느끼는 경우가 많았다. 그러나 앞으로는 기업의 정보보호 활동이 실질적으로 기업 운영에 도움이 될 수 있는 방향으로 인증 제도가 개선된다.

기업이 자체적으로 수립·운영하는 정보보호 및 개인정보보호 관리 체계가 적합한지 여부를 인증하는 ISMS-P 인증 제도가 개정된다. 기업이 ISMS-P 인증을 받으면 정보보호 및 개인정보보호 수준을 공식적으로 인정 받았다는 의미가 있다. 하지만 유사·중복 점검과 사후 관리 등이 기업의 부담으로 다가왔다는 점에서 개정 요구가 계속돼 왔다. 개인정보보호위원회는 중복 심사를 줄이고 인증 심사 후 현장 실사 등 사후 관리를 강화하는 방향으로 제도를 개정한다고 밝혔다. ISMS-P 인증은 주로 인터넷 쇼핑몰, 포털 사이트 등이 받아왔지만 정보통신서비스제공자가 다양한 업종으로 확대되고 있는 만큼 개별 업종의 특성에 맞는 인증이 가능하도록 제도가 보완될 예정이다.

클라우드 보안 등 신기술의 발전을 가로막는다는 지적이 이어져왔던 CC인증(공통평가기준)도 재평가 기준이 완화된다. 업계에서는 핵심 기능이 아닌 일부 기능만 바꿔도 재평가를 받아야 해 불만이 지속돼 왔다. 앞으로 CC인증은 재평가 기준을 완화하고 인증 유효기간을 늘리는 것으로 개정된다. 아울러 클라우드 기반 보안 제품과 관련한 새로운 인증 제도도 마련될 것으로 보인다.

◇급변하는 법과 제도…기업별로 보안 전략 '필수'=빠르게 변화하는 뉴 ICT 환경 속에서 새롭게 만들어지는 법과 제도에 효과적으로 대응하고 증가하는 사이버 공격 및 유출 사고를 방어하기 위해 각 기업의 보안전략은 필수가 됐다. 최근 SK인포섹은 '정보보호 시스템 구축 가이드'를 개정·발간했다. 정보보호 시스템 구축 가이드에는 스마트공장·스마트 의료·핀테크 등 미래 산업 보안 분야에 꼭 필요한 정보보호 구축을 비롯해 각 산업별로 준수해야 할 주요 법령 및 내용이 포함돼 있다.

성경원 SK인포섹 컨설팅사업그룹장은 "산업의 융·복합과 가속화되는 기업의 디지털 전환에 따라 관련 법과 제도의 변화는 지속될 것"이라며 "코로나19가 아직 종식되지 않아 어려운 상황이 지속되고 있지만, 기업의 정보보호 책임이 지속적으로 무거워지고 있는 만큼, 현명한 보안 전략 수립이 필수적"이라고 강조했다.윤선영기자 sunnyday72@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?