개인정보보호위원회(이하 “위원회”)가 지난 9월 10일 ‘개인정보 안전관리 체계 강화 방안’(이하 “안전관리 체계 강화 방안”)을 발표했습니다.
최근 대규모 개인정보 유출에 대한 우려가 심화되고 있는 가운데, 위원회는 개인정보 보호를 '비용'으로 인식하여 최소한의 법적 의무만을 수동적으로 이행하는 관행을 지적하며, 개인정보처리자의 선제적·적극적인 안전조치를 유도하고 피해자의 권리 구제를 강화하기 위한 3가지 방안을 제시하였습니다.
|
1.
|
선제적 제도 개선
위원회는 국민 생활에 밀접한 대규모 정보시스템에서의 개인정보 유출 사고를 사전 예방하기 위한 정책 방향을 다음과 같이 제시하였습니다.
-
주요 개인정보처리시스템에 대한 공격표면관리(ASM, Attack Surface Management)[1]강화: 주요 개인정보처리시스템을 대상으로 보안 취약점 등을 지속적으로 모니터링함으로써 ① 이상징후를 탐지[2]하고, ② 취약점을 제거하는 등 공격표면관리 활동을 강화하도록 하는 정책 방향을 제시하였습니다. 특히, 이상징후의 구체적 유형 및 대응방법에 대해서는 추후 안내서 발간을 추진하겠다고 밝혔습니다.
-
선제적 조치에 대한 인센티브 제공: ① 법정 암호화 의무가 없는 개인정보에 대해 추가로 암호화를 적용한 경우 해당 정보가 유출되더라도 책임을 경감해주거나, ② 이상징후 탐지·차단 시스템 등 안전조치를 자발적으로 도입할 경우 인센티브를 제공하는 등 개인정보처리자의 선제적 조치를 장려하는 정책 방안을 제시하였습니다.
-
유통 정보 분석을 통한 2차 피해 예방 강화: ① 다크웹 등에서 불법 유통되는 개인정보가 탐지될 경우 이를 해당 사업자 및 정보주체 등과 신속히 공유하고 2차 피해 예방을 지원하며, ② 온라인상 개인정보 불법유통자에 대한 처벌 근거를 마련하기 위하여 개인정보 보호법 개정을 추진하겠다고 밝혔습니다.
-
ISMS-P 인증체계 고도화 및 단계적 의무화: 민감·대규모 개인정보를 처리하는 중요 공공시스템 운영 공공기관, 이동통신 서비스 및 모바일 신원확인 서비스 사업자에 대해서는 ISMS-P 인증을 단계적으로 의무화하고, 예비·현장심사 절차 도입, 사고 기업에 대한 사후관리 강화 등 인증체계를 고도화하는 방안을 제시하였습니다.
|
|
2.
|
상시적 내부통제 강화
위원회는 개인정보처리자들의 개인정보 보호 분야에 대한 투자 확대 및 보안 역량 제고 등을 위한 정책 방향도 함께 제시하였습니다.
-
개인정보보호 분야 투자(인력, 예산) 최소 기준 명확화: ① 가중된 자격을 갖춘 사람을 개인정보보호책임자(이하 “CPO”)로 지정해야 하는 의무를 부담하는 개인정보처리자(이하 “대규모 개인정보처리자”)[3] 는 CPO 외에도 1명 이상의 개인정보 전담인력 및 전담조직을 두도록 명문화하고, ② 전체 정보화 예산의 10% 이상을 개인정보 보호 예산(정보보호 예산 포함)으로 확보하여 운영한 경우에는 사고 발생 시 책임 경감 등의 인센티브를 예산 수준 등에 따라 차등 제공하는 방안을 제시하였습니다.
-
CEO/CPO 중심의 내부통제 강화: 기업의 대표자(이하 “CEO”)에게 개인정보 보호 관련 위험관리 및 내부통제에 관한 최종 책임자로서의 의무가 있다는 점을 명문화하고, 대규모 개인정보처리자가 CPO를 지정할 때에는 위원회에 신고하고 이를 임면할 때에는 이사회 결의를 거치도록 하는 등, CEO/CPO를 중심으로 내부통제 체계를 강화하는 방안을 제시하였습니다.
-
개인정보 영향평가 민간 활성화 및 전문성 강화: 민간의 영향평가 대상·방법·기준을 구체화하고, 사고발생시 책임 경감 절차를 명확히 하는 등 민간에서 개인정보 영향평가를 활성화하기 위한 기반을 마련하는 방안을 제시하였습니다.
-
대규모 수탁자, 솔루션 제공자에 대한 관리감독 효율화: 개인정보 보호 역량이 취약한 중소 사업자들이 이용하는 대규모 수탁자 및 솔루션 제공자에 대한 관리 감독을 강화하기 위한 법적 근거를 마련하고, 솔루션에서 처리되는 개인정보 흐름 전반의 보호 수준에 관한 인증 체계를 법제화하는 방안을 제시하였습니다.
|
|
3.
|
엄정한 처분 및 권리구제 실질화
마지막으로, 위원회는 개인정보 유출 사고 발생시 엄정한 처분 및 효과적인 피해자 권리구제를 도모하기 위한 방안을 제시하였습니다.
-
신속하고 엄정한 조사·처분 체계 확립: 위원회는 사고를 반복하는 기업에 대해서는 과징금을 가중하고, 징벌적 과징금을 부과하는 등 제재처분의 실효성 제고를 위한 정책연구를 실시할 것으로 밝혔습니다. 또한, 포렌식랩 구축 등 사고 발생시 신속히 조사를 실시할 수 있는 체계를 확립하고, 유출이 확인되지 않았더라도 유출 가능성이 있다면 해당 정보주체에게 통지하도록 하는 등 피해 확산 방지 조치를 강화하겠다고 밝혔습니다.
-
유출 사고 등에 따른 피해구제 실질화: 개인정보 보호법 위반으로 부과한 과징금 등을 실제 유출사고 피해자 구제에 활용하는 방안 등 개인정보 침해 피해구제 강화 방안, 분쟁조정 신속 개시 등을 통한 개인정보 분쟁조정 실질화 방안 등을 제시하였습니다.
-
시장감시, 권리구제 지원 등을 위한 개인정보 옴부즈만 설치: 시민사회가 적극적인 시장 감시, 제도개선 권고 등에 관한 정책의견 표명을 할 수 있도록 ‘개인정보 옴부즈만’을 설치하는 방안을 제시하였습니다.
-
전문인력 양성, 침해요인 선제 대응 등을 통한 권리구제 기반 강화: 신속하고 전문적인 조사를 위하여 전문인력을 양성하고 이에 필요한 기술 분석환경을 구축하겠다고 밝혔습니다. 또한, 개인정보 유출사고 관련 보험상품의 개발 및 개선을 유도하여 손해배상 보장제도의 내실화를 지원하겠다고 밝혔습니다.
|
이번 안전관리 체계 강화 방안을 실행·운영하기 위하여, 위원회는 법률 개정이 필요한 사항은 기본적으로 2025년 내에 개정안을 마련하여 내년 상반기 국회에 제출하고, 중장기 검토 필요 사항은 이해관계자 의견수렴을 거쳐 2026년까지 개정안 마련을 추진할 계획이라고 밝혔습니다. 이러한 추진 방향은 개인정보를 처리하는 사업자들의 개인정보 보호 실무에 영향을 미칠 수 있는 내용들이므로 향후 법률 개정, 안내서 발간 등 관련 동향을 면밀히 살피고 대응할 필요가 있습니다.
[1] 공격자가 노릴 수 있는 취약점∙경로 등을 지속적으로 식별·분석·모니터링하여 보안 위협을 축소하는 활동
[2] 비정상적인 인증 시도(접근 경로, 접근 빈도 등 분석), 개인정보 다운로드 시도 등
[3] (i) 연간 매출액 1,500억 원 이상인 자로서, 5만 명 이상의 민감정보∙고유식별정보 또는 100만 명 이상의 개인정보를 처리하는 자, (ii) 직전 연도 12월 31일 기준으로 재학생이 2만 명 이상인 대학, (iii) 상급종합병원, (iv) 공공시스템운영기관 등을 말합니다.
[영문] PIPC Announces “Plan to Strengthen Security Management System for Personal Information”
