개인정보위 '예방 중심 개인정보 관리체계 전환 계획' 발표 과징금 산정 기준 강화·피해자 구제 강화 등 내용 담아
송경희 개인정보위원장이 12일 정부서울청사에서 브리핑을 열고 이 같은 내용을 담은 '예방 중심 개인정보 관리체계 전환 계획'을 발표하고 있다./사진=이인애 기자
정부가 개인정보 유출 사고 이후 조사와 과징금 부과에 머물던 기존 대응 체계를 전면 손질한다. 반복적이거나 중대한 유출 사고를 낸 기업에는 매출의 최대 10%까지 징벌적 과징금을 부과하는 대신, 보안 투자와 안전 관리 체계를 선제적으로 강화한 기업에는 과징금을 감경해주는 방식이다. 대규모 개인정보를 처리하는 공공·민간 시스템 1700곳도 정부가 직접 관리·점검한다.
개인정보보호위원회(개인정보위)는 12일 정부서울청사에서 브리핑을 열고 이 같은 내용을 담은 '예방 중심 개인정보 관리체계 전환 계획'을 발표했다. 최근 대형 유출 사고가 잇따르는 데다 AI 기반 해킹 기술까지 고도화되면서 기존의 '사후 처벌 중심' 대응만으로는 한계가 있다는 판단에서다.
핵심은 '예방 투자'를 유도하는 방향으로 규제 체계를 바꾸는 것이다.
■징벌적 과징금 도입·과징금 산정 기준 강화
정부는 오는 9월부터 고의·중과실로 중대한 개인정보 유출 사고를 반복적으로 낸 기업에 대해 매출액의 최대 10%까지 과징금을 부과한다. 다만 모든 사고에 일률적으로 적용되는 것은 아니다. 3년 내 반복 위반, 1000만명 이상 피해, 시정명령 미이행 상태에서의 사고 등 중대한 사례에 한해 적용된다.
과징금 산정 방식도 강화된다. 현재는 최근 3년 평균 매출액을 기준으로 하지만, 앞으로는 직전 연도 매출과 비교해 더 높은 금액을 기준으로 삼는다. 개정 시행령은 오는 19일부터 시행되며 이후 발생한 사고부터 적용된다.
반대로 보안 투자에 적극적인 기업에는 인센티브를 제공한다. 법정 기준을 웃도는 안전 조치, 업계 평균 이상의 보안 투자, 실효적 안전 관리 체계 운영 등이 인정되면 과징금을 감경한다. 보안 투자는 비용이라는 시장 인식을 개선하는 신호탄이 될 전망이다.
송경희 개인정보위원장은 "시행령과 고시 기준에 정해놓은 기준을 상회하는 투자를 했을 경우에는 충분히 감안을 하겠다는 것"이라며 "관리를 열심히 한 기업들에 대해서는 혹시 그렇게 열심히 했는데도 불가피하게 사고가 났다 하더라도 인센티브를 적용하겠다. 그러니 열심히 예방을 해 주시라라는 게 우리가 시장에 보내는 메시지"라고 말했다.
■위험도 나눠 차등 관리..."과소 규제·과잉 규제 부작용 해소"
정부는 하반기부터 개인정보를 대규모로 처리하는 공공기관·민간기업 약 1700곳도 직접 점검한다. 교육·복지·공공 시스템 등 민감 정보가 집중된 분야와 클라우드 사업자, 전문 수탁사, 시스템 공급사 등 공급망 전반이 포함된다.
다만 모든 기관을 동일하게 관리하지는 않는다. 개인정보 규모와 민감도, 이용자 수, 접속 권한 규모 등을 기준으로 위험도를 나눠 차등 관리한다. 고위험 분야는 개인정보위가 직접 점검하고, 중간 위험군은 관계부처 중심 관리, 저위험 분야는 체크리스트와 점검 도구를 제공하는 방식이다.
이 기준은 기업에도 마찬가지로 적용된다. 송 위원장은 "민감 개인정보를 많이 다루는 곳은 훨씬 더 강화된 안전 조치 기준들을 적용해야 되는데 지금의 우리 법률은 일률적으로 안전성 확보 조치 기준이 적용된다"며 "앞으로는 위험 기반 관리체제로 가 과소 규제나 과잉 규제되 부작용을 해소하겠다"고 말했다.
■AI 발전에 따른 피해는?..."공격만큼 방어 기술도 발전"
특히 개인정보위는 AI 시대를 염두에 둔 대응 필요성도 강조했다. 최근 생성형 AI 기반 해킹 기술이 발전하면서 사람이 직접 대응하는 방식만으로는 한계가 있다는 것이다.
송 위원장은 "앞으로는 공격뿐 아니라 방어도 AI가 하는 시대로 가게 될 것"이라며 "사람 중심의 관리 체계에서 벗어나 AI 에이전트까지 가정한 탐지·대응 체계를 갖춰야 한다"고 말했다.
AI 발전으로 사이버 공격 위험이 높아져 방어에 한계가 있다는 우려에는 "AI가 공격에도 쓰이지만 방어에도 쓰인다"며 개인정보유출 방지 기술도 함께 고도화되고 있다고 설명했다.
조사 방해 행위에 대한 제재도 강화된다. 개인정보위는 이행강제금 제도를 도입하고 증거 은닉 행위에 대한 처벌 수위를 높이는 한편 신고포상금 제도도 추진한다.
경영진 책임도 강화된다. 대표이사를 개인정보 보호의 최종 책임자로 법에 명시하고, 100만명 이상 개인정보를 처리하면서 매출 1800억원 이상인 기업 약 700곳에는 자격 요건을 갖춘 개인정보보호책임자(CPO) 지정도 의무화한다.
개인정보위는 향후 피해 구제 체계도 확대할 방침이다. 입증 책임을 기업에 강화하고 법정 손해배상 제도를 활성화하는 한편, 침해신고센터 기능도 법률 상담과 피해 회복 지원까지 확대하는 방안을 검토하고 있다.
한편 이날 송경희 개인정보위원장은 현재 진행되고 있는 쿠팡 개인정보 유출에 대한 조사는 마무리 수순을 밟고 있어 이르면 6월 결론이 날 수도 있다고 밝혔다.
