"징벌적 과징금"... 제2 쿠팡 사태 엄벌한다
반복 위반 시 매출 10% 과징금…징벌적 제재 도입
CEO·CPO 법적 책임 명확화, 관리체계 재편
ISMS-P 인증 의무화로 공공·민간 보안 표준화
[지데일리] 대한민국의 개인정보 보호 법제가 대대적인 변화를 맞는다.
9일 개인정보보호위원회에 따르면 이번 개정은 연이어 발생한 대형 유출사고와 그에 따른 사회적 신뢰 붕괴를 계기로 신속히 추진됐다. 지난해 말 국회 정무위원회 의결을 거쳐, 지난달 12일 본회의를 통과하고 이달 3일 국무회의를 통해 확정됐다. 위원회는 “피해 발생 후 사후 처벌이 아니라, 기업이 애초부터 개인정보 보호를 ‘경영의 기본책임’으로 인식하도록 제도를 바꾸는 게 핵심”이라고 설명했다.
반복 위반 기업에 최대 매출 10% 과징금
개정안의 중심에는 ‘징벌적 과징금’이 있다. 개인정보 유출이 한두 번의 실수가 아니라 ‘기업 문화의 부실’로 드러난다면 전체 매출액의 최대 10%까지 과징금을 부과할 수 있다. 기존에는 최대 3% 한도였기에, 과징금이 실효적 제재 역할을 하지 못한다는 비판이 끊이지 않았다.
이번 강화 조치는 ‘고의 또는 중대한 과실로 3년 내 반복 위반’, ‘천만 명 이상 피해를 초래한 대규모 유출’, ‘시정명령 불이행 후 사고 발생’ 같은 중대한 상황을 대상으로 한다. 정부는 이러한 제도가 실효성을 갖추려면 단순 처벌을 넘어 경영진의 경각심을 자극해야 한다고 보고 있다.
이에 따라 쿠팡처럼 고객 DB를 클라우드 기반으로 대규모 운영하는 플랫폼, 이동통신사, 금융기관 등 대형 개인정보처리 사업자가 직접 타격을 입게 된다.
지난해 쿠팡의 유출 사태는 ‘단순 기술적 해킹’이 아니라 개인정보 접근 관리가 부실했던 내부 시스템의 맹점에서 비롯된 것으로 조사됐다. 이 사건은 국내 개인정보 보호 체계가 여전히 기업 자율에 지나치게 의존하고 있음을 드러냈다.
정부는 ‘사후 제재’ 못지않게 ‘사전 예방 투자’를 촉진하기 위한 인센티브도 마련했다. 개인정보 보호 인력이나 예산을 확충하고 관련 설비를 개선한 기업에 대해서는 고의·중과실이 없는 한 과징금을 감경할 수 있도록 했다. 이는 기업이 자발적으로 보안 인프라를 강화하도록 유도하는 장치다.
유출 ‘가능성’ 단계부터 즉시 통보
이번 개정은 국민의 피해 최소화를 위한 ‘조기 경보 체계’도 강화했다. 지금까지는 개인정보처리자가 실제 유출 사실을 인지한 이후에야 통보 의무가 발생했지만, 앞으로는 ‘유출 가능성을 인지한 시점’부터 피해자에게 즉시 통보해야 한다.
또한 기존 법에서는 분실·도난·유출만을 통지 대상으로 규정해 랜섬웨어에 의한 데이터 위조·변조·훼손은 신고 의무가 없었다. 이후 복구가 지연되면서 피해가 확산되는 사례가 빈번해지자, 이번 개정에서는 이런 유형도 ‘유출 등 사고’로 포함시켰다. 더불어 피해자는 통지와 함께 손해배상 청구, 분쟁조정 절차 등 구체적 구제 수단을 즉시 안내받게 된다.
이는 쿠팡 사태 이후 제기된 '너무 늦은 통지'에 대한 사회적 분노와도 맞닿아 있다. 당시 피해자 상당수가 본인 정보가 유출됐다는 사실을 언론 보도로 먼저 접했다. 이번 제도 변화는 그 같은 ‘2차 피해’ 예방을 위한 제도적 장치로 풀이된다.
CEO·CPO, 개인정보 보호 ‘최종 책임자’로
법 개정의 또 다른 핵심은 대표자와 개인정보 보호책임자(CPO)의 책임 강화다. 앞으로 CEO는 개인정보 처리의 최종 책임자로서 관리·감독 의무를 명확히 지며, 일정 규모 이상의 기업은 CPO 지정이나 교체 시 이사회 의결과 개인정보보호위원회 신고를 의무적으로 거쳐야 한다.
CPO의 역할도 한층 강화된다. 이제 단순한 ‘실무 관리자’가 아니라, 개인정보 보호 예산 확보와 전문 인력 관리까지 책임지는 실질적 관리 주체로 자리매김한다. 대표자와 이사회에 정기적으로 개인정보 보호 추진 현황을 보고하고, 위험 발생 시 즉각 대응할 체계를 구축해야 한다.
전문가들은 이를 두고 “데이터 시대에 기업의 사회적 책임(CSR)이 단순히 기부나 친환경으로 한정될 수 없음을 보여주는 신호”라고 해석한다. 즉, 개인정보 보호가 '법적 의무'를 넘어 '경영의 신뢰자산'으로 격상되고 있다는 의미다.
ISMS-P 인증 의무화로 관리체계 표준화
마지막으로 눈에 띄는 변화는 ‘ISMS-P 인증’ 의무화다. 지금까지는 대형 기업에서도 해당 인증을 자율적으로 받아왔으나, 앞으로는 공공·민간 주요 개인정보처리자가 반드시 인증을 취득해야 한다.
ISMS-P(Personal Information & Information Security Management System)는 사업자가 스스로 구축한 정보보호·개인정보보호 관리체계가 국제적 기준에 부합하는지를 제3자가 평가·인증하는 제도다. 이번 개정으로 공공기관은 물론 플랫폼, 금융, 통신 등 영향력 큰 민간기업도 예외 없이 이 인증을 받아야 한다.
관련 규정은 2027년 7월 1일부터 시행된다. 정부는 그 사이 산업계의 시스템 구축 부담을 완화하기 위해 예산 지원과 단계별 유예를 병행할 방침이다.
기업 자율에서 ‘법적 의무’로
개정법은 올해 9월 11일부터 본격 시행된다. 개인정보보호위원회는 후속 시행령 개정을 신속히 마무리하고 산업계와 간담회를 열어 제도 정착을 지원할 계획이다.
이번 개정은 2011년 보호법 제정 이후 가장 강도 높은 규제 강화로 평가된다. 전문가들은 “그동안 개인정보 보호가 기업 내부의 자율규범 수준에 머물러 있었다면, 이제는 법이 강제하는 총체적 책임 체계로 전환되는 시기”라고 분석한다.
한 IT업계 관계자는 "개인정보 유출은 더 이상 보안팀의 문제가 아니다. CEO의 리더십, 경영철학, 기업의 사회적 신뢰와 직결된 문제로 여겨지고 있다"며 "쿠팡 사태 이후 한국 사회는 개인정보 보호는 비용이 아니라 생존 전략임을 절감하고 있다. 새로 공포되는 보호법 개정안은 바로 그 인식의 전환을 제도적으로 뒷받침하는 신호탄이 될 전망"이라고 짚었다.