[보안뉴스= 고낙준 개인정보보호위원회 예방조정심의관] 통신·카드·유통 플랫폼 등에서 발생한 개인정보 유출사고는 규모 면에서 대형화될 뿐만 아니라 보이스 피싱 등 2차 피해로 이어질 위험성도 커지고 있다. 이러한 일련의 사건은 AI·디지털 전환과 플랫폼 경제 확산으로 개인정보 활용 규모·범위가 확대되어 유출사고는 대형화되고, 사후 처벌만으로는 유출로 인한 피해회복이 어려우며, 국민은 개인정보 보호를 체감하기 어려운 상황임을 여실히 보여준다. 사고 발생 후 조사·제재·개선이라는 전통적 개인정보 보호의 패러다임이 더 이상 작동하기 어렵다는 것을 의미한다.

[출처: gettyimagesbank]
이제 ‘사고 후 처벌하는 관리’에서 실질적 위험 관리와 예방 투자 유도를 통해 ‘사고 전 예방·관리하고 사고 피해도 최소화’하는 예방 중심 개인정보 보호체계로 대전환이 필요한 시점이다. 이를 위한 구체적인 과제는 다음과 같다.
첫째, 중대·반복 위반 행위에 대한 제재 강화로 억제력 강화에 주력한다
먼저, 중대하거나 반복한 개인정보 보호법 위반행위에 대해서는 매출액의 최대 10%까지 과징금을 부과해 투자소홀로 감축한 비용을 대폭 상회하는 경제적 제재를 확립해 제재의 실효성을 높인다. 중대·반복 행위는 고의·중과실로 3년내 반복 사건이 발생하거나, 고의·중과실로 1000만명 규모 이상의 피해가 발생한 경우 등 법에서 규정하고 있는 요건에 해당하는 경우에는 재발경위, 고의성 및 의도성, 국민적 피해 규모 및 2차 피해 등을 고려해 판단할 예정이다.
과징금 산정 기준도 현행 ‘3년 평균 매출액’에서 ‘직전 연도 매출액’과 ‘3년 평균 매출액’ 중 높은 금액을 적용한다. 아울러, 신속한 조사와 처분을 위해 과태료 처분이외에 이행강제금을 부과할 있도록 법 개정을 추진하고, 증거 은닉 행위에 대해서는 제재를 강화하는 한편, 신고포상금 제도도 도입할 계획이다. 다만, 영세기업의 경미한 보호법 위반은 재발 방지와 개선을 위한 시정 기회를 부여하되, 위반이 반복될 경우에는 엄정 대응할 방침이다.
둘째, 기업·기관의 자발적 보호투자 확대를 유도한다
법정 기준을 상회하는 선제적 안전조치, 보호책임경영 등 자발적 예방 보호활동을 촉진하는 인센티브 체계를 마련할 계획이다. 개정된 개인정보 보호법에 따라 개인정보 보호를 위한 예산·인력·설비·장치 등의 투자 규모 및 지속성, 사업주 또는 대표자·개인정보 보호책임자의 역할, 조직 및 인력 구성 등 개인정보 보호체계 운영 내용 및 수준, 개인정보 안전성 확보 조치 강화를 위한 추가 노력 등을 종합적으로 평가해 과징금 감경에 반영하고, 선제적 투자에는 합당한 인센티브를 받을 수 있도록 할 예정이다. 이와 함께 오는 9월부터 시행되는 경영진의 개인정보 보호 책임이 충실히 이행될 수 있도록 기업의 개인정보 보호활동을 공개하도록 유도해 기업 스스로 보호 역량을 높이도록 할 계획이다.
개인정보 처리 환경이 갈수록 복잡해짐에 따라 서비스가 출시된 이후에는 침해를 인지하거나 막기도 어려운 점을 고려해, 시스템 설계 단계부터 개인정보보호를 반영하는 개인정보 중심 설계(PbD: Privacy by Design)의 필요성도 커지고 있다. 이에 개인정보위는 서비스 기획·설계 단계부터 PbD 원칙이 반영되도록 ‘PbD 원칙’을 제도화한다. 또한 개인정보 영향평가 기준과 ISMS-P 인증 기준에 개인정보 보호 중심설계 원칙을 반영할 계획이다.
셋째, 위험 수준에 따라 차등적으로 점검·관리하는 위험기반 관리체계를 구축한다
개인정보 처리 규모, 민감도, 산업별 특성을 고려해 개인정보 처리 분야를 고·중·저 위험군으로 구분하고, 차등적 점검과 관리를 실시한다. 대규모 개인정보를 보유하거나, 고유식별정보·민감정보를 처리하는 고위험군에 대해서는 점검 분야를 사전에 공개한 뒤 정기·수시 점검을 통해 내부통제 운영 실태를 중점적으로 살펴 사고 위험을 최소화할 방침이다. 올해는 플랫폼, 금융기관, 공공기관, 에듀테크, 요양병원 등 대규모 개인정보 또는 민감정보를 처리하는 분야를 중심으로 실태점검을 추진한다.
고위험군이 아닌 분야는 개인정보 영향평가 실시, 개인정보보호 중심 설계 원칙(PbD) 준수 등을 유도할 계획이다. 이 외에도 자율점검 도구와 컨설팅을 제공해 개인정보처리자가 기본적인 보호수준을 확보하도록 지원하며, 필요한 경우 부처와 개인정보위가 합동 점검한다. 이를 위해 주요 관계부처가 참여하는 범정부 정책협의체를 운영해 부처별 소관 분야의 개인정보 관리 실태와 위험 해소방안을 공유하고 협력할 계획이다.
아울러, 사물인터넷(IoT) 기기, 에이전트 AI 등 신기술 분야에 대해서도 침해 우려사항에 대해 기술분석센터를 구축해 선제적으로 점검해 개인정보보호 사각지대가 발생하지 않도록 관리해 나간다.
넷째, 2차 피해를 예방하고, 정보 불법 유통 대응을 강화하고자 한다
유출 통지 대상에 유출 가능성이 있는 경우도 포함해 유출 사실 확정 전이라도 정보주체에게 신속하게 통지하게 함으로써 피해가 확산되지 않도록 하고, 유출통지를 하는 경우 분쟁조정 신청, 손해배상 청구 등 피해자의 권리행사 방법 등을 함께 알리도록 유출통지 항목도 확대할 계획이다. 아울러, 개인정보 유·노출, 불법 유통에 따른 2차 피해 방지를 강화하기 위해 모니터링 범위를 다크웹까지 확대하고, 불법적 개인정보 거래·유통 행위에 대해 명백한 처벌 근거도 신설할 계획이다.
대규모 개인정보 유출 사태는 비단 2025년 한 해만의 문제가 아니다. AI 확산과 함께 날로 고도화되는 해킹 기술로 인해 기존의 개인정보보호 체계는 더욱 취약해질 수 밖에 없다. 이제 새로운 위협이 일상화되는 시대에 개인정보보호위원회는 민간·공공이 함께 위협 요소를 선제적으로 찾고 미리 제거하는 능동적이고 상시적인 예방 체계로 전환을 위해 다각적인 노력을 다할 것이다.
[글_고낙준 개인정보보호위원회 예방조정심의관]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>














