개인정보 유출 막겠다…정부, SKT 해킹 사태 계기로 보안투자 유도 대수술

SK텔레콤 고객 정보 유출 사태 이후, 개인정보보호위원회가 유사 사고 재발을 막기 위한 대대적인 제도 개편 방안을 내놨다. 개인정보 유출의 원인을 근본적으로 차단하고, 피해자 구제 체계를 강화하는 내용이 핵심이다.

위원회는 지난 11일 발표한 ‘개인정보 안전관리 체계 강화 방안’에서, 현재 개인정보보호법이 정하고 있는 유지 의무가 지나치게 최소한에 그치고 있어 기업들의 능동적인 대응이 어렵다는 점을 지적했다. 현행 제도에서는 법에 제시된 기준만 지켜도 책임을 다한 것으로 간주되다보니, 비용을 들여 보안을 강화할 유인이 크지 않다는 것이다. 실제 한국 기업들은 전체 IT 예산 가운데 정보보호에 투입하는 비중이 평균 6.1%로, 미국의 10.5%에 비해 현저히 낮은 수준이다.

이번 대책에서 눈에 띄는 변화 중 하나는 개인정보보호 책임구조와 내규 강화를 위한 조치다. 개인정보를 100만 명 이상 다루는 사업자는 기존처럼 보호책임자(CPO)를 두는 것을 넘어서, 기관별로 별도의 전담인력을 추가 배치해야 하며, 내부통제와 침해사고 대응에 실질적으로 기여하는 구조로 바뀌어야 한다. 또한 기업의 보호 노력 평가를 위해 운영되던 ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 제도에 대해서도 실효성 제고를 위한 현장심사 도입, 단계적 의무화가 추진된다.

이와 함께, 기업들의 정보보호 투자 유인을 강화하기 위한 인센티브도 마련된다. 예를 들어 기업이 전체 정보화 예산의 10% 이상을 개인정보 보호에 투입할 경우, 유출 사고 발생 시 법적 책임을 일부 경감해주는 방안이 포함됐다. 해킹 피해 가능성이 큰 이동통신 서비스나 모바일 신원확인 서비스는 ISMS-P 인증을 의무화하고, 암호화 의무 대상 외의 개인정보까지 보호조치를 한 기업에 대해서도 책임 감면이 가능하도록 제도를 정비할 계획이다.

피해자에 대한 실질적인 보상 체계도 개선 대상이다. 지금까지는 개인정보 유출 사고로 부과된 과징금이 전액 국고로 귀속돼 피해자 구제와는 무관하게 처리되어 왔다. 앞으로는 이를 개선하기 위해 이른바 ‘개인정보 피해구제 기금’을 마련하는 방안이 추진된다. 과징금 일부를 해당 기금에 출연해 직접적인 피해자 지원에 활용하겠다는 취지다. 이와 관련한 제도개선 연구가 곧 시작된다.

이번 방안에는 대규모 수탁자나 솔루션 제공자를 이용하는 중소사업자도 보호 대상으로 확대하겠다는 내용이 포함돼 있다. 법과 책임 범위가 직접적인 개인정보처리자에만 국한돼 오던 구조가 현실을 반영해 보다 넓게 개편되는 셈이다. 또한, 시민사회와 소비자단체가 개인정보 침해 문제에 적극 대응할 수 있도록 ‘개인정보 옴부즈만’ 제도를 신규 도입하는 방안도 검토되고 있다.

이 같은 움직임은 개인정보 유출 사고의 빈번한 반복과 피해자 보호 사각지대를 해소하기 위한 구조적 변화의 일환이다. 향후 기업들의 보안관리 관행과 투자 전략에 실질적 영향을 미칠 수 있으며, 개인정보 보호 역량의 전반적인 상향 평준화를 유도할 가능성이 있다.