개인정보 보호 비용 → 전략적 투자 인식 전환
개인정보위, ‘개인정보 안전관리 체계 강화 방안’ 마련
[보안뉴스 한세희 기자] 정부가 같은 원인으로 반복해서 개인정보 유출 사고가 발생하는 기업에 과징금을 가중하고, 중장기적으로 징벌적 과징금 도입도 검토한다.
또 개인정보보호에 노력한 기업에는 인센티브를 주고, 개인정보보호최고책임자(CPO) 권한을 강화한다는 계획이다.
4월 SK텔레콤 대규모 유심 정보 유출과 같은 대형 사고를 막기 위해서다. 사고가 날 때마다 규제를 추가하기보단, 기업이 보안을 비용으로 인식하지 않고 선제적으로 안전 조치를 할 수 있도록 인센티브를 제공한다.
▲최장혁 개인정보위원회 부위원장이 11일 정부서울청사에서 개인정보 안전관리체계 강화방안 브리핑을 하고 있다. [자료: 개인정보위]
개인정보보호위원회는 11일 이 같은 내용을 골자로 한 ‘개인정보 안전관리 체계 강화 방안’을 발표했다.
개인정보위는 비슷한 사고를 예방하기 위해 주요 개인정보처리시스템의 취약점을 제거하고 이상징후를 탐지하는 공격표면관리를 강화한다. 암호화 적용 대상 정보도 확대한다.
평소 선제적 보호조치를 한 기업엔 과징금을 줄여 주고, 유출된 정보가 다크웹 등에서 불법 유통되는지도 탐지해 2차 피해를 차단할 계획이다.
개인정보보호관리체계(ISMS-P) 인증은 현장 심사 중심으로 고도화하고, 이동통신 등 핵심 분야엔 단계적 의무화를 검토한다.
기업 내부통제를 강화하기 위해 개인정보 보호 인력 및 예산 투자 기준을 제시하고, 이를 충족한 기업에 혜택을 부여한다.
[자료: 개인정보위원회]
개인정보보호최고책임자(CPO)가 실질적 권한을 행사할 수 있게 제도를 손질한다. 지정 신고제를 도입하고, 이사회 정기 보고와 직무 보장 등을 통해 법적 권한과 역할을 강화한다. 최고경영자는 개인정보 보호와 위험 관리의 최종 책임을 지게 된다.
공공부문에 의무화된 ‘개인정보 영향평가’도 민간에 도입하고, 클라우드 사업자나 솔루션 공급자 등 그간 사각지대에 있던 영역도 관리를 강화한다.
사고에 대한 처분은 엄정하게 하고, 권리구제의 실효성도 높인다. 같은 원인으로 유출 사고가 거듭 발생하는 기업에 과징금을 가중하고, 중장기적으로 징벌적 과징금 도입도 검토한다.
피해가 예상되면 실제 유출된 사람뿐 아니라 유출 가능성이 있는 사람까지 통지 대상을 넓힌다. 현재 전액 국고에 귀속되는 과징금을 피해자 구제에 활용하는 방안도 추진한다.
[자료: 개인정보위원회]
개인정보 옴부즈만을 설치해 시장 감시와 권리구제를 지원하고, 전문 인력 양성과 신기술 대응 체계도 강화한다. 일정 규모 이상의 기업엔 개인정보 유출에 대비한 보험상품 개발을 유도해 손해배상 보장제도의 실효성을 높인다.
개인정보위는 사업자 설명회와 의견수렴을 거쳐 합리적 기준을 마련한 뒤 법령 개정과 예산 확보 등 후속 조치를 이어갈 계획이다.
고학수 개인정보위원장은 “(SKT 사고를 계기로) 사업자들이 개인정보 보호 투자를 ‘불필요한 비용’이 아닌 고객 신뢰 확보를 위한 ‘기본적 책무’이자 ‘전략적 투자’로 인식하기를 바란다”고 말했다.
[한세희 기자(boan@boannews.com)]
개인정보위, ‘개인정보 안전관리 체계 강화 방안’ 마련
[보안뉴스 한세희 기자] 정부가 같은 원인으로 반복해서 개인정보 유출 사고가 발생하는 기업에 과징금을 가중하고, 중장기적으로 징벌적 과징금 도입도 검토한다.
또 개인정보보호에 노력한 기업에는 인센티브를 주고, 개인정보보호최고책임자(CPO) 권한을 강화한다는 계획이다.
4월 SK텔레콤 대규모 유심 정보 유출과 같은 대형 사고를 막기 위해서다. 사고가 날 때마다 규제를 추가하기보단, 기업이 보안을 비용으로 인식하지 않고 선제적으로 안전 조치를 할 수 있도록 인센티브를 제공한다.
▲최장혁 개인정보위원회 부위원장이 11일 정부서울청사에서 개인정보 안전관리체계 강화방안 브리핑을 하고 있다. [자료: 개인정보위]
개인정보보호위원회는 11일 이 같은 내용을 골자로 한 ‘개인정보 안전관리 체계 강화 방안’을 발표했다.
개인정보위는 비슷한 사고를 예방하기 위해 주요 개인정보처리시스템의 취약점을 제거하고 이상징후를 탐지하는 공격표면관리를 강화한다. 암호화 적용 대상 정보도 확대한다.
평소 선제적 보호조치를 한 기업엔 과징금을 줄여 주고, 유출된 정보가 다크웹 등에서 불법 유통되는지도 탐지해 2차 피해를 차단할 계획이다.
개인정보보호관리체계(ISMS-P) 인증은 현장 심사 중심으로 고도화하고, 이동통신 등 핵심 분야엔 단계적 의무화를 검토한다.
기업 내부통제를 강화하기 위해 개인정보 보호 인력 및 예산 투자 기준을 제시하고, 이를 충족한 기업에 혜택을 부여한다.
[자료: 개인정보위원회]
개인정보보호최고책임자(CPO)가 실질적 권한을 행사할 수 있게 제도를 손질한다. 지정 신고제를 도입하고, 이사회 정기 보고와 직무 보장 등을 통해 법적 권한과 역할을 강화한다. 최고경영자는 개인정보 보호와 위험 관리의 최종 책임을 지게 된다.
공공부문에 의무화된 ‘개인정보 영향평가’도 민간에 도입하고, 클라우드 사업자나 솔루션 공급자 등 그간 사각지대에 있던 영역도 관리를 강화한다.
사고에 대한 처분은 엄정하게 하고, 권리구제의 실효성도 높인다. 같은 원인으로 유출 사고가 거듭 발생하는 기업에 과징금을 가중하고, 중장기적으로 징벌적 과징금 도입도 검토한다.
피해가 예상되면 실제 유출된 사람뿐 아니라 유출 가능성이 있는 사람까지 통지 대상을 넓힌다. 현재 전액 국고에 귀속되는 과징금을 피해자 구제에 활용하는 방안도 추진한다.
[자료: 개인정보위원회]
개인정보 옴부즈만을 설치해 시장 감시와 권리구제를 지원하고, 전문 인력 양성과 신기술 대응 체계도 강화한다. 일정 규모 이상의 기업엔 개인정보 유출에 대비한 보험상품 개발을 유도해 손해배상 보장제도의 실효성을 높인다.
개인정보위는 사업자 설명회와 의견수렴을 거쳐 합리적 기준을 마련한 뒤 법령 개정과 예산 확보 등 후속 조치를 이어갈 계획이다.
고학수 개인정보위원장은 “(SKT 사고를 계기로) 사업자들이 개인정보 보호 투자를 ‘불필요한 비용’이 아닌 고객 신뢰 확보를 위한 ‘기본적 책무’이자 ‘전략적 투자’로 인식하기를 바란다”고 말했다.
[한세희 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)