.gif)
형식적 지정에서 실질적 책임으로
‘CPO 지정 신고제’ 도입이 필요한 이유
[보안뉴스=윤재석 한성대학교 융합보안학과 교수] 우리나라의 개인정보보호체계는 세계적으로 높은 법적 수준을 자랑하지만, 정작 그 실행의 핵심인 개인정보보호책임자(CPO) 제도는 여전히 ‘지정만 있고 신고는 없는’ 반쪽짜리 제도로 남아 있다.
[자료: gettyimagesbank]
보안 분야의 정보보호최고책임자(CISO)가 신고·자격요건까지 구체적으로 제도화된 것과 비교하면, 개인정보보호 분야는 여전히 제도적 공백이 크다. 이제는 ‘형식적 지정’ 을 넘어 ‘실질적 책임과 전문성’ 을 갖춘 CPO 제도로의 전환이 필요하다.
‘지정만 있고 신고는 없는’ 한국의 CPO 제도
‘개인정보보호법’ 제31조는 개인정보처리자에게 CPO를 지정하도록 의무화하고 있다. 그러나 CPO 지정 사실을 정부에 신고해야 하는 의무는 아직 규정되어 있지 않다.
지난 2024년 3월, 개정·시행된 시행령에서는 일정 규모 이상의 개인정보처리자에 한해 법정 자격요건이 새로 도입됐다. 연 매출 1500억원 이상이면서 100만명 이상의 개인정보를 처리하거나, 5만명 이상의 민감정보 또는 고유식별정보를 처리하는 사업자는 ‘개인정보보호·정보보호·IT 분야 4년 이상 경력(그중 2년 이상 개인정보보호 경력)’을 갖춘 자를 CPO로 지정해야 한다.
그러나 대규모 사업자에만 한정되며, 대부분의 기업과 기관에는 여전히 구속력이 없다. 이 때문에 한국에 진출한 외국계 기업을 비롯한 다수의 조직에서는 법무나 인사(HR), IT부서장, 보안 담당자가 CPO를 겸직하거나 문서상으로만 존재하고 있다. 실질적인 개인정보보호 업무는 전문성과 권한이 제한적인 일부 실무자에게 위임되거나 외부 컨설턴트에 의존하는 경우가 많다. 이러한 구조에서는 개인정보 유출사고가 발생해도 ‘누가 총괄 책임자인가’를 특정하기 어렵고, CPO의 실질적 권한도 부재해 대응에 한계를 보일 수밖에 없다.
결국, 한국의 CPO는 ‘법에 지정된 이름뿐인 책임자’로 제도적 그림자 속에 머물러 있는 실정이다.
신고·자격 요건 갖춰 제도적 위치 확보한 CISO
반면 CISO는 명확한 법적 지위를 지녔다. ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제45조의3과 시행령 제36조의7에 따라, 정보통신서비스 제공자 등은 CISO를 지정하고 과학기술정보통신부(한국인터넷진흥원)에 신고해야 하며, 일정 규모 이상의 기업은 CEO·감사 등과의 겸직이 금지된다.
또, 정보보호 관련 경력·학력·자격요건이 명확히 정해져 있다. 이처럼 CISO는 제도적 틀 안에서 정부의 관리·감독받지만, CPO는 여전히 책임만 있고 관리체계는 없는 제도적 사각지대에 머물러있다.
해외는 이미 ‘신고제’와 ‘전문성 인증제’로 진화
유럽연합(EU)의 일반개인정보보호법(GDPR)은 데이터 프로텍션 오피서(DPO·Data Protection Officer)를 명시하고 있다. 공공기관이나 대규모 개인정보처리자는 DPO를 지정해야 하며, 그 정보를 감독기관에 통보해야 한다. DPO는 데이터 보호법과 실무에 대한 전문지식을 갖추어야 하며, 독립성·경영진 보고 등 위치·업무가 보장된다. 독일·프랑스·영국은 감독기관 통보 절차를 운영하며, 독일에선 미통보 등에 대해 5만 유로 과태료 사례가 있다.
싱가포르는 지난 2012년 제정하고 2014년 시행된 ‘PDPA’에 따라 모든 조직은 DPO를 지정하고 DPO의 사업자 연락처를 공개해야 하며, 감독 기구인 PDPC가 포털을 통해 DPO 등록 제도를 운영한다. 법적 필수 인증은 아니지만 DPO 역량 프레임워크와 PDPC-IAPP Practitioner Certificate 등 공식 교육·인증 생태계가 마련되어 있다.
미국은 CPO 지정이 법적 의무는 아니지만, 연방거래위원회(FTC)는 동의명령에서 ‘자격 있는 프라이버시 책임자 지정’ 등을 반복적으로 요구하고 있어, 책임자 부재·거버넌스 미비가 기업운영 리스크로 이어질 수 있다.
일본과 홍콩에서는 법정 DPO 의무는 없지만, 집행기관 가이드라인을 통해 책임자 지정과 PMP(Privacy Management Programme) 구축을 권고하고 있다.
이처럼 해외 주요국은 ‘CPO(DPO)를 실질적 책임자’로 ‘제도화’하고 있다는 점에서 우리에게 시사하는 바가 크다.
정부도 CPO 제도 강화를 포함한 ‘범부처 정보보호 종합대책’ 발표
최근 연이어 발생한 대형 해킹 사고로 인해 국민 불안이 커지자, 정부는 지난 10월 22일 국가안보실 주관으로 과학기술정보통신부, 개인정보보호위원회, 금융위원회, 국가정보원, 행정안전부 등 관계부처 합동으로 ‘범부처 정보보호 종합대책’을 발표했다.
이 종합대책은 단기 실행이 가능한 과제를 중심으로, 전방위적 사이버 위협에 대응하기 위한 범정부 유기적 체계를 즉시 가동하는 것을 목표로 한다. 특히, 이번 대책은 기업의 최고경영진이 정보보호 책임을 실질적으로 이행하도록 하기 위한 ‘경영진 책임 강화’를 핵심 축으로 하고 있으며. 그 주요 내용은 다음과 같다.
△CEO(최고경영자)의 보안 책임 법제화: ‘보안은 경영의 문제’임을 제도적으로 확립
△CISO 및 CPO 권한 강화: 실질적 예산·인력·보고 라인 확보를 위한 제도 개선 추진
△ISMS/ISMS-P 실효성 제고: 현장 중심 심사로 전환하고 중대한 결함 발생 시 인증 취소
△징벌적 과징금 및 이행강제금 제도화: 보안의무 위반 기업에 대한 책임 강화
△보안공시 의무 확대: 상장사 전체로 확대하여 기업의 정보보호 역량을 등급화 및 공개
△개인정보 유출 사고에 따른 과징금 수입의 개인정보 보호 활용기금 신설 검토
또, CPO와 CISO의 법적 책임 및 권한 강화를 명시적으로 언급하면서, 향후 개인정보보호법과 정보통신망법 등의 관련 법령의 개정을 통해 보안·프라이버시 책임자 제도의 전문성과 법적 지위를 강화하겠다는 의지를 밝혔다. 정부가 제시한 이번 종합대책은 CPO 제도의 실효성 강화를 위한 정책적 전환점으로 평가할 수 있다. 기업은 이제 형식적 지정에 머물러서는 안 되며, 내부통제체계 속에서 CPO가 실질적으로 권한과 책임을 행사할 수 있는 구조로 전환해야 할 시점이다.
‘기업 부담’을 고려한 단계적 도입이 해법
CPO 신고제와 자격요건을 곧바로 의무화하면 기업의 반발은 피하기 어렵다. 현재도 CISO 신고나 ISMS 인증 등 규제 부담이 적지 않기 때문이다. 따라서 위험 기반 접근을 통해 다음과 같은 단계적·차등적 도입이 현실적이다.
△1단계 시범적용: 기본 자격과 경력 요건을 강화한 지정·신고 의무화 (대기업·금융·의료·플랫폼 등)
△2단계 확대적용: CPO 교육 및 인증제를 병행(중견기업·공공기관)
△3단계 전면확산: 외부 CPO 위탁, 공동 지정 또는 자율등록 (중소기업 등)
이처럼 대규모 개인정보처리자부터 시행해 제도적 기반을 마련하고, 중소기업에는 외부 위탁이나 공동 지정으로 실질적 부담을 완화할 수 있다.
CPO 자격요건, ‘법제+거버넌스 역량’ 중심으로
CPO는 기술보안보다 데이터 거버넌스와 법적 판단이 핵심이다. 따라서 단순 자격증 중심이 아니라 다음과 같은 균형형 역량 모델이 바람직하다.
즉, 개인정보보호·컴플라이언스·법무 등 해당 분야 3년 이상 경력과 CIPP/E, CIPM, CPPG, CISA, ISO/IEC 27701 Lead Auditor 등 공인 자격, 개인정보보호위원회 인증 교육 20시간 이상 이수, 그리고 대기업의 경우 CEO·CFO 등과 겸직 제한 검토 등이 있다. 이러한 기준은 형식적 규제가 아니라 전문성을 갖춘 보호 리더 양성을 목표로 해야 한다.
한국형 모델: ‘지정 신고제 + 역량 인증제’ 병행
▲윤재석 한성대 융합보안학과 교수 [자료: 윤재석 교수]
우리나라가 도입할 수 있는 합리적 방향은 EU형 통보제와 싱가포르형 인증제를 결합하는 것이다. 먼저 대규모 개인정보처리자는 CPO를 지정하여 개인정보보호위원회에 신고하고, 정부나 공인기관이 운영하는 CPO 교육·평가 제도를 도입한다. 중소기업은 외부 인증 CPO를 위탁 지정하는 방식이다.
이 모델을 도입하면 감독기관은 시장 전반의 CPO 현황을 체계적으로 파악해 관리함으로써 실질적인 피해 예방 수준을 높일 수 있고, 기업은 책임 구조를 명확히 하여 침해사고 시 대응력과 신뢰성을 높일 수 있다.
‘이름뿐인 책임자’에서 ‘실질적 보호 리더’로
AI 인사관리, 데이터 결합, 글로벌 이전 등 데이터 활용이 급증하는 지금, CPO는 단순한 법적 명의자나 명목상의 직책이 아니라 조직의 데이터 윤리 책임자가 되어야 한다. 이제는 ‘누가 CPO인지조차 알 수 없는 구조’에서 벗어나 신고를 통한 투명성, 자격을 통한 전문성, 인증을 통한 지속성을 확보해야 한다.
CISO가 기술보안의 수문장이라면, CPO는 인권과 신뢰의 관리자로서 기업의 데이터 거버넌스를 이끌어야 한다. 우리나라의 개인정보보호 체계가 진정한 피해예방 및 책임 기반 보호체계로 나아가기 위해, 지금이 바로 CPO 제도의 실질화를 도모할 시점이다.
[글_윤재석 한성대학교 융합보안학과 교수/前 글로벌 반도체기업 아시아지역 개인정보보호책임자(CPO)(jsyun21@hansung.kr)]
‘CPO 지정 신고제’ 도입이 필요한 이유
[보안뉴스=윤재석 한성대학교 융합보안학과 교수] 우리나라의 개인정보보호체계는 세계적으로 높은 법적 수준을 자랑하지만, 정작 그 실행의 핵심인 개인정보보호책임자(CPO) 제도는 여전히 ‘지정만 있고 신고는 없는’ 반쪽짜리 제도로 남아 있다.
[자료: gettyimagesbank]
보안 분야의 정보보호최고책임자(CISO)가 신고·자격요건까지 구체적으로 제도화된 것과 비교하면, 개인정보보호 분야는 여전히 제도적 공백이 크다. 이제는 ‘형식적 지정’ 을 넘어 ‘실질적 책임과 전문성’ 을 갖춘 CPO 제도로의 전환이 필요하다.
‘지정만 있고 신고는 없는’ 한국의 CPO 제도
‘개인정보보호법’ 제31조는 개인정보처리자에게 CPO를 지정하도록 의무화하고 있다. 그러나 CPO 지정 사실을 정부에 신고해야 하는 의무는 아직 규정되어 있지 않다.
지난 2024년 3월, 개정·시행된 시행령에서는 일정 규모 이상의 개인정보처리자에 한해 법정 자격요건이 새로 도입됐다. 연 매출 1500억원 이상이면서 100만명 이상의 개인정보를 처리하거나, 5만명 이상의 민감정보 또는 고유식별정보를 처리하는 사업자는 ‘개인정보보호·정보보호·IT 분야 4년 이상 경력(그중 2년 이상 개인정보보호 경력)’을 갖춘 자를 CPO로 지정해야 한다.
그러나 대규모 사업자에만 한정되며, 대부분의 기업과 기관에는 여전히 구속력이 없다. 이 때문에 한국에 진출한 외국계 기업을 비롯한 다수의 조직에서는 법무나 인사(HR), IT부서장, 보안 담당자가 CPO를 겸직하거나 문서상으로만 존재하고 있다. 실질적인 개인정보보호 업무는 전문성과 권한이 제한적인 일부 실무자에게 위임되거나 외부 컨설턴트에 의존하는 경우가 많다. 이러한 구조에서는 개인정보 유출사고가 발생해도 ‘누가 총괄 책임자인가’를 특정하기 어렵고, CPO의 실질적 권한도 부재해 대응에 한계를 보일 수밖에 없다.
결국, 한국의 CPO는 ‘법에 지정된 이름뿐인 책임자’로 제도적 그림자 속에 머물러 있는 실정이다.
신고·자격 요건 갖춰 제도적 위치 확보한 CISO
반면 CISO는 명확한 법적 지위를 지녔다. ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제45조의3과 시행령 제36조의7에 따라, 정보통신서비스 제공자 등은 CISO를 지정하고 과학기술정보통신부(한국인터넷진흥원)에 신고해야 하며, 일정 규모 이상의 기업은 CEO·감사 등과의 겸직이 금지된다.
또, 정보보호 관련 경력·학력·자격요건이 명확히 정해져 있다. 이처럼 CISO는 제도적 틀 안에서 정부의 관리·감독받지만, CPO는 여전히 책임만 있고 관리체계는 없는 제도적 사각지대에 머물러있다.
해외는 이미 ‘신고제’와 ‘전문성 인증제’로 진화
유럽연합(EU)의 일반개인정보보호법(GDPR)은 데이터 프로텍션 오피서(DPO·Data Protection Officer)를 명시하고 있다. 공공기관이나 대규모 개인정보처리자는 DPO를 지정해야 하며, 그 정보를 감독기관에 통보해야 한다. DPO는 데이터 보호법과 실무에 대한 전문지식을 갖추어야 하며, 독립성·경영진 보고 등 위치·업무가 보장된다. 독일·프랑스·영국은 감독기관 통보 절차를 운영하며, 독일에선 미통보 등에 대해 5만 유로 과태료 사례가 있다.
싱가포르는 지난 2012년 제정하고 2014년 시행된 ‘PDPA’에 따라 모든 조직은 DPO를 지정하고 DPO의 사업자 연락처를 공개해야 하며, 감독 기구인 PDPC가 포털을 통해 DPO 등록 제도를 운영한다. 법적 필수 인증은 아니지만 DPO 역량 프레임워크와 PDPC-IAPP Practitioner Certificate 등 공식 교육·인증 생태계가 마련되어 있다.
미국은 CPO 지정이 법적 의무는 아니지만, 연방거래위원회(FTC)는 동의명령에서 ‘자격 있는 프라이버시 책임자 지정’ 등을 반복적으로 요구하고 있어, 책임자 부재·거버넌스 미비가 기업운영 리스크로 이어질 수 있다.
일본과 홍콩에서는 법정 DPO 의무는 없지만, 집행기관 가이드라인을 통해 책임자 지정과 PMP(Privacy Management Programme) 구축을 권고하고 있다.
이처럼 해외 주요국은 ‘CPO(DPO)를 실질적 책임자’로 ‘제도화’하고 있다는 점에서 우리에게 시사하는 바가 크다.
정부도 CPO 제도 강화를 포함한 ‘범부처 정보보호 종합대책’ 발표
최근 연이어 발생한 대형 해킹 사고로 인해 국민 불안이 커지자, 정부는 지난 10월 22일 국가안보실 주관으로 과학기술정보통신부, 개인정보보호위원회, 금융위원회, 국가정보원, 행정안전부 등 관계부처 합동으로 ‘범부처 정보보호 종합대책’을 발표했다.
이 종합대책은 단기 실행이 가능한 과제를 중심으로, 전방위적 사이버 위협에 대응하기 위한 범정부 유기적 체계를 즉시 가동하는 것을 목표로 한다. 특히, 이번 대책은 기업의 최고경영진이 정보보호 책임을 실질적으로 이행하도록 하기 위한 ‘경영진 책임 강화’를 핵심 축으로 하고 있으며. 그 주요 내용은 다음과 같다.
△CEO(최고경영자)의 보안 책임 법제화: ‘보안은 경영의 문제’임을 제도적으로 확립
△CISO 및 CPO 권한 강화: 실질적 예산·인력·보고 라인 확보를 위한 제도 개선 추진
△ISMS/ISMS-P 실효성 제고: 현장 중심 심사로 전환하고 중대한 결함 발생 시 인증 취소
△징벌적 과징금 및 이행강제금 제도화: 보안의무 위반 기업에 대한 책임 강화
△보안공시 의무 확대: 상장사 전체로 확대하여 기업의 정보보호 역량을 등급화 및 공개
△개인정보 유출 사고에 따른 과징금 수입의 개인정보 보호 활용기금 신설 검토
또, CPO와 CISO의 법적 책임 및 권한 강화를 명시적으로 언급하면서, 향후 개인정보보호법과 정보통신망법 등의 관련 법령의 개정을 통해 보안·프라이버시 책임자 제도의 전문성과 법적 지위를 강화하겠다는 의지를 밝혔다. 정부가 제시한 이번 종합대책은 CPO 제도의 실효성 강화를 위한 정책적 전환점으로 평가할 수 있다. 기업은 이제 형식적 지정에 머물러서는 안 되며, 내부통제체계 속에서 CPO가 실질적으로 권한과 책임을 행사할 수 있는 구조로 전환해야 할 시점이다.
‘기업 부담’을 고려한 단계적 도입이 해법
CPO 신고제와 자격요건을 곧바로 의무화하면 기업의 반발은 피하기 어렵다. 현재도 CISO 신고나 ISMS 인증 등 규제 부담이 적지 않기 때문이다. 따라서 위험 기반 접근을 통해 다음과 같은 단계적·차등적 도입이 현실적이다.
△1단계 시범적용: 기본 자격과 경력 요건을 강화한 지정·신고 의무화 (대기업·금융·의료·플랫폼 등)
△2단계 확대적용: CPO 교육 및 인증제를 병행(중견기업·공공기관)
△3단계 전면확산: 외부 CPO 위탁, 공동 지정 또는 자율등록 (중소기업 등)
이처럼 대규모 개인정보처리자부터 시행해 제도적 기반을 마련하고, 중소기업에는 외부 위탁이나 공동 지정으로 실질적 부담을 완화할 수 있다.
CPO 자격요건, ‘법제+거버넌스 역량’ 중심으로
CPO는 기술보안보다 데이터 거버넌스와 법적 판단이 핵심이다. 따라서 단순 자격증 중심이 아니라 다음과 같은 균형형 역량 모델이 바람직하다.
즉, 개인정보보호·컴플라이언스·법무 등 해당 분야 3년 이상 경력과 CIPP/E, CIPM, CPPG, CISA, ISO/IEC 27701 Lead Auditor 등 공인 자격, 개인정보보호위원회 인증 교육 20시간 이상 이수, 그리고 대기업의 경우 CEO·CFO 등과 겸직 제한 검토 등이 있다. 이러한 기준은 형식적 규제가 아니라 전문성을 갖춘 보호 리더 양성을 목표로 해야 한다.
한국형 모델: ‘지정 신고제 + 역량 인증제’ 병행
▲윤재석 한성대 융합보안학과 교수 [자료: 윤재석 교수]
우리나라가 도입할 수 있는 합리적 방향은 EU형 통보제와 싱가포르형 인증제를 결합하는 것이다. 먼저 대규모 개인정보처리자는 CPO를 지정하여 개인정보보호위원회에 신고하고, 정부나 공인기관이 운영하는 CPO 교육·평가 제도를 도입한다. 중소기업은 외부 인증 CPO를 위탁 지정하는 방식이다.
이 모델을 도입하면 감독기관은 시장 전반의 CPO 현황을 체계적으로 파악해 관리함으로써 실질적인 피해 예방 수준을 높일 수 있고, 기업은 책임 구조를 명확히 하여 침해사고 시 대응력과 신뢰성을 높일 수 있다.
‘이름뿐인 책임자’에서 ‘실질적 보호 리더’로
AI 인사관리, 데이터 결합, 글로벌 이전 등 데이터 활용이 급증하는 지금, CPO는 단순한 법적 명의자나 명목상의 직책이 아니라 조직의 데이터 윤리 책임자가 되어야 한다. 이제는 ‘누가 CPO인지조차 알 수 없는 구조’에서 벗어나 신고를 통한 투명성, 자격을 통한 전문성, 인증을 통한 지속성을 확보해야 한다.
CISO가 기술보안의 수문장이라면, CPO는 인권과 신뢰의 관리자로서 기업의 데이터 거버넌스를 이끌어야 한다. 우리나라의 개인정보보호 체계가 진정한 피해예방 및 책임 기반 보호체계로 나아가기 위해, 지금이 바로 CPO 제도의 실질화를 도모할 시점이다.
[글_윤재석 한성대학교 융합보안학과 교수/前 글로벌 반도체기업 아시아지역 개인정보보호책임자(CPO)(jsyun21@hansung.kr)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
