[디지털데일리 김보민기자] 대규모 보안사고를 막기 위한 사전 예방 체계가 강화된다.

개인정보보호위원회(이하 개인정보위)는 '개인정보 안전관리 체계 강화 방안'을 추진한다고 11일 밝혔다. 지난 4월 발생한 SK텔레콤 고객정보 유출과 같은 대규모 사고를 예방하고, 보안 투자를 비용이 아닌 기본 책무로 이해할 수 있도록 인식 전환을 하겠다는 취지다.

현행 규제 시스템은 개인정보처리자가 반드시 준수해야 하는 최소한의 법적 의무사항을 중심으로 규율한다는 특징이 있다. 그렇기 때문에, 기업이 개인정보 보호 정책을 추가하거나, 적극적으로 보호 조치를 취할 만한 제도적 유인이 부족한 실정이다. 해킹 사고가 난 이후에 규제를 추가하는 사후 대응적인 조치 또한 미흡하다는 지적이 이어지고 있다.

뿐만 아니라 동일한 원인으로 유출사고가 반복되는 기업도 늘고 있다. 그럼에도 엄정한 제재를 부과할 수 있는 체제가 부족하고, 과징금의 경우 전액 국고에 귀속되기 때문에 실제 피해자 권리 구제에는 활용되지 못한다는 한계도 있다.

개인정보위는 이러한 애로사항을 고려해, 국민 생활에 밀접한 대규모 정보시스템 중 이미 해킹이 있었거나 악성 프로그램이 설치됐을 가능성을 분석해 기술적 조치를 우선 추진한다. 아울러 최고경영자(CEO) 책임을 명확화하고, 인력 및 예산 투입 기준과 상시·전사적 내부통제 강화를 위한 방안에 필요한 과제를 발굴할 계획이다.

이번 개인정보 안전관리 체계 강화 방안에는 유사 사고 예방을 위한 선제적 제도 개선에 대한 내용이 담겼다. 주요 개인정보처리시스템을 대상으로 외부에 노출된 취약점을 제거하고 이상징후를 탐지하는 등 공격표면관리(ASM)를 강화하고, 주요 정보에 대한 암호화 적용을 확대하는 등 선제적 조치를 정례화하는 것이 골자다.

또한 평소 개인정보 보호를 위한 선제·적극적 보호 조치를 한 기업을 대상으로 과징금 감경 등 인센티브를 제공하는 체계 정비를 추진한다. 이미 유출된 개인정보가 웹, 딥웹, 다크웹 등에서 불법 유통되는지 여부를 탐지하고 관련 정보를 발견할 경우 유관기관에 공유해 2차 피해 예방 또한 지원한다.

개인정보 보호 수준을 평가하는 '개인정보보호관리체계(ISMS-P)' 인증 제도와 관련해서는, 신종 해킹 기법을 고려한 현장 심사를 중심으로 인증 체계를 고도화한다. 장기적으로는 핵심 공공시스템, 이동통신서비스 등 대상을 단계적으로 의무화하혹 인증 품질을 향상하기 위한 제도 개선을 추진한다.

상시적 내부통제를 강화하는 내용도 담겼다. 개인정보보호 분야의 투자를 확대하기 위해 구체적인 기준을 제시하고, 인센티브 제공 범위 또한 다각화한다는 취지다. CEO에게는 개인정보보호 관련 위험관리 및 내부 통제에 관한 최종 책임이 있다는 점을 강조하고, 관리 주체인 개인정보보호책임자(CPO)가 내부통제를 강화할 수 있도록 지정 신고제 도입·연 1회 이사회 보고·직무 여건 보장 등 권한을 강화한다. 공공 중심의 '개인정보 영향평가'를 민간에 활성화하는 내용도 담겼다.

개인정보위는 같은 방식으로 반복 해킹을 당하거나 개인정보 유출 사고가 이어지는 기업에게 과징금을 과중하는 등 제재를 통해 경각심을 가지도록 할 방침이다. 중장기적으로는 징벌적 과징금 등 제재 처분의 실효성을 제고하기 위한 검토를 진행한다. 또한 개인정보보호법을 위반해 과징금을 부과 받을 경우, 실제 유출사고 피해자 구제에 이를 활용할 수 있는 방안을 검토한다.

한편 개인정보위는 개인정보 안전관리 체계 강화 방안이 적용될 수 있도록 의견 수렴을 거쳐 기준을 설정하고, 법령·고시에 반영하거나 예산을 확보해 후속 조치를 추진할 예정이다.

고학수 개인정보위 위원장은 "이번 사고를 계기로 대규모 개인정보를 처리

하는 사업자들이 개인정보 보호를 위한 투자를 '불필요한 비용'이 아닌 고객의 신뢰 확보를 위한 '기본적 책무'이자 '전략적 투자'로 인식하길 바라며, 이를 통해 개인정보 보호에 대한 국민적 신뢰가 확산되기 바란다"고 말했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -