매일 경제

(서울=연합뉴스) 양정우 기자 = 정부가 개인정보 유출사고가 난 기업·기관이 피해자(정보주체)에게 구체적인 피해 회복을 해 줄 경우 과징금을 감면해주는 방안을 검토하고 있다.

2030년까지 기업·기관의 개인정보보호 예산 비중을 각 기관 IT 예산의 15%까지 확대하는 방안도 추진한다.

개인정보보호위원회는 21일 서울 중구 은행회관에서 한국CPO(개인정보보호책임자)협의회와 공동 주관한 '개인정보 정책포럼'에서 이 같은 내용을 담은 '개인정보 안전관리 체계 강화 추진방향'을 소개했다.

역대 최악의 국내 해킹 사고로 기록된 'SKT 개인정보 유출 사고'를 계기로 민·관의 개인정보 안전관리 체계를 강화하기 위한 차원이다.

이번 대책은 100만명 이상의 개인정보를 처리하는 대규모 개인정보처리자를 대상으로 추진된다.

고낙준 개인정보위 신기술개인정보과장은 이날 포럼 발제문에서 현행 제재 수단인 과징금과 과태료 등은 실질적인 피해구제에 한계가 있다고 지적하며, 피해보상 등을 통해 구체적인 피해회복 시 과징금 감면과 연계하는 개선 방안을 소개했다.

실질적인 피해보상을 과징금 감면 등과 연계해 사업자의 자발적 피해구제를 유도하자는 취지다.

또 법으로 정한 암호화 대상 외 개인정보도 암호화 조치를 할 경우 유출 사고가 나더라도 과징금 감경 등 인센티브를 제공하는 방안이 검토된다.

고 과장은 "암호화 외에도 모의해킹 등 자발적·선제적 보호조치 시 과징금·과태료 부과 등에 전향적 고려가 가능하다"고 말했다.

시장감시·권리구제 지원 등을 위해 '개인정보 옴부즈맨'을 설치하는 방안도 제시했다.

개인정보 옴부즈맨은 학계, 시민단체 및 공모를 통해 선발된 일반 국민 등 15인 이내로 구성된다.

반기별로 1회 회의를 개최해 옴부즈맨이 논의 안건을 제시하면 개인정보위는 검토 후 의견을 제시하고 필요시 조사와 개선 권고 등에 나서는 방식이다.


개인정보위는 인증을 위한 검증 절차가 형식에 그치고 있다는 지적을 받아온 '정보보호 및 개인정보보호 관리체계 인증(ISMS-P)'의 실효성을 강화하는 계획도 내놨다.

다크웹 상의 개인정보 불법유통 조기경보 체계를 구축해 개인정보 탐지 시 해당 개인정보처리자와 유관기관에 신속 공유하고, 정보주체 유출통지 및 유출경로 확인 등을 지원한다는 구상이다.

개인정보위는 이를 위해 내년 예산확보 및 조기경보 체계 구축에 나설 방침이다.

대규모 정보처리자의 개인정보 보호 분야 투자 기준을 마련하는 방안도 추진된다.

가안으로 제시된 인력 기준은 대규모 정보처리자가 기관 내 CPO를 제외하고서 최소 1명 이상의 개인정보 보호 전담 인력을 배치하도록 했다.

강화된 안전조치가 적용되는 공공시스템은 시스템별로 전담 인력을 확보하게 했다.

또 전체 IT 인력의 최소 10%를 개인정보 보호 담당 인력으로 배정토록 했다.

기관·기업별 정보보호 예산 비중은 2027년까지 전체 IT 예산의 최소 10%를, 2030년까지는 이를 15%로 확대하도록 했다.

이 예산은 이상행위 탐지시스템과 취약점 점검, 모의해킹 등 투자 필요 분야에 활용된다.

미국 기업의 경우 2021∼2023년 IT 예산 중 정보보호 투자 비율이 10.5%지만 국내 기업은 6.1%에 불과한 것으로 전해졌다.

아울러 공공기관 중심의 일회성 평가에 그쳐온 개인정보 영향평가를 민간으로 확대, 자율적·체계적으로 이뤄지는 여건을 조성하고 '개인정보 기술분석센터'를 신설해 복잡·전문화하는 기술환경에 대처하는 방안도 제시됐다.

다만, 개인정보위는 이날 발제문에 담은 강화 대책은 현시점에서 검토되는 최소한의 대책으로, 향후 수정·보완될 수 있으며 앞으로도 각계각층의 다양한 의견을 수렴해 내달 중 확정할 계획이라고 알렸다.


eddie@yna.co.kr(끝)