사전 예방 중심의 개인정보 보호 체계 구축
김해숙, 개인정보보호위원회 사전실태점검 과장 키노트 스피치
[보안뉴스 엄호식 기자] 김해숙 개인정보보호위원회 과장은 22일 서울 코엑스 그랜드볼룸에서 개막한 ‘제15회 개인정보호페어 & CPO 워크숍’(PIS FAIR 2026) 키노트 강연에서 ‘사후 제재 중심에서 사전 예방 중심으로 전환해야 한다’는 메시지를 전달했다. 특히 개인정보 유출 사고가 급증하는 현실 속에서, 더 이상 사고를 완전히 막는 것은 불가능하기에 피해 최소화와 빠른 회복을 위한 ‘예방 역량 강화’가 필요하다고 강조했다.
▲김해숙 개인정보보호위원회 사전실태점검 과장 [출처: 보안뉴스]
김 과장은 클라우드의 확산과 공급망 연결, 협력사 시스템을 통한 침투 등으로 보호 대상이 기업 내부망을 넘어 공급망 전체로 확대되고 있다고 전했다. 특히 실제 최근 해킹 사고의 상당수가 협력사 서버를 통한 침입에서 비롯된 만큼, 공급망 리스크 관리가 필수적이라고 전했다.
이에 정부는 △위험 기반 예방관리체계 구축을 위해 ‘위험 기반 실태 점검’과 ‘예방적 보호제도 개선’, ‘공공과 민간 협력 체계 구축’에 힘쓰며, 민간 기업의 △자발적 보호투자 확대 유도를 위해 ‘인센티브 재설계’와 ‘CEO-CPO 중심의 책임 경영’을 전략으로 사전 예방 중심의 개인정보 보호를 추진한다.
산업 분야는 △예방적 개인정보 보호 생태계 활성화를 위해 ‘보호 기술 경젱력 제고’ 및 ‘전문인력 양성’, ‘기술 대응역량 강화’ 등을 추진하고, △국민들이 안심하는 신뢰 문화 조성을 위해 ‘맞춤형 교육 확대’ 및 ‘안심 서비스 환경 조성’에 힘쓴다는 계획이다.
이외에도 개인정보 처리 규모와 환경에 따라 저위험군과 중위험군, 고위험군으로 구분해 보호체계를 구축한다. 1만명 미만의 데이터를 관리하는 소규모 사업자(저위험군)는 최소 기준 준수 지원에 집중하고, 100만명 이상의 데이터 관리, 민감정보처리, 신기술 활용 등에 해당되는 대규모 플랫폼 및 의료·공공 등 고위험군은 강화된 인증과 주기적 점검을 통해 관리 수준을 높인다고 밝혔다.
[출처: 보안뉴스]
또한 실질적 위험 통제를 위한 예방 제도 개선 방향으로는 △ISMS-P의 강화된 인증 기준을 통해 상시관리형 심사를 진행하는 한편, 공공 및 민간 주요처리자의 인증을 의무화하고, △개인정보 처리 유형과 특성을 반영한 위험분석을 기반으로 안전조치 기준을 차등 적용하며 △개인정보 영향평가를 통해 PbD(Privacy by Design)와 연계한 처리흐름 기반 평가 및 조치를 확대해 대규모 국외이전 영향평가제를 신설할 계획이라고 밝혔다.
특히 사고 후 대응보다 선제적 투자와 성실 관리 기업에 이익이 되는 시스템 구축을 강조하며, 기업의 △전문 CPO 지정과 CPO 거버넌스 및 이사회 보고 체계 개편 △자산 위험 식별·관리, 공급망(수탁자, 협력사 등) 관리 강화 △PbD 관점의 예방 투자 확대 및 충분한 보호활동 증적 확보 등 기업의 개인정보처리자 또는 CPO가 꼭 챙겨야 할 것들을 강조하며 개인정보보호를 규제 준수에서 경영 전략의 핵심 요소로 끌어올리겠다는 정책 방향을 밝혔다.
[엄호식 기자(eomhs@boannews.com)]
김해숙, 개인정보보호위원회 사전실태점검 과장 키노트 스피치
[보안뉴스 엄호식 기자] 김해숙 개인정보보호위원회 과장은 22일 서울 코엑스 그랜드볼룸에서 개막한 ‘제15회 개인정보호페어 & CPO 워크숍’(PIS FAIR 2026) 키노트 강연에서 ‘사후 제재 중심에서 사전 예방 중심으로 전환해야 한다’는 메시지를 전달했다. 특히 개인정보 유출 사고가 급증하는 현실 속에서, 더 이상 사고를 완전히 막는 것은 불가능하기에 피해 최소화와 빠른 회복을 위한 ‘예방 역량 강화’가 필요하다고 강조했다.
▲김해숙 개인정보보호위원회 사전실태점검 과장 [출처: 보안뉴스]
김 과장은 클라우드의 확산과 공급망 연결, 협력사 시스템을 통한 침투 등으로 보호 대상이 기업 내부망을 넘어 공급망 전체로 확대되고 있다고 전했다. 특히 실제 최근 해킹 사고의 상당수가 협력사 서버를 통한 침입에서 비롯된 만큼, 공급망 리스크 관리가 필수적이라고 전했다.
이에 정부는 △위험 기반 예방관리체계 구축을 위해 ‘위험 기반 실태 점검’과 ‘예방적 보호제도 개선’, ‘공공과 민간 협력 체계 구축’에 힘쓰며, 민간 기업의 △자발적 보호투자 확대 유도를 위해 ‘인센티브 재설계’와 ‘CEO-CPO 중심의 책임 경영’을 전략으로 사전 예방 중심의 개인정보 보호를 추진한다.
산업 분야는 △예방적 개인정보 보호 생태계 활성화를 위해 ‘보호 기술 경젱력 제고’ 및 ‘전문인력 양성’, ‘기술 대응역량 강화’ 등을 추진하고, △국민들이 안심하는 신뢰 문화 조성을 위해 ‘맞춤형 교육 확대’ 및 ‘안심 서비스 환경 조성’에 힘쓴다는 계획이다.
이외에도 개인정보 처리 규모와 환경에 따라 저위험군과 중위험군, 고위험군으로 구분해 보호체계를 구축한다. 1만명 미만의 데이터를 관리하는 소규모 사업자(저위험군)는 최소 기준 준수 지원에 집중하고, 100만명 이상의 데이터 관리, 민감정보처리, 신기술 활용 등에 해당되는 대규모 플랫폼 및 의료·공공 등 고위험군은 강화된 인증과 주기적 점검을 통해 관리 수준을 높인다고 밝혔다.
[출처: 보안뉴스]
또한 실질적 위험 통제를 위한 예방 제도 개선 방향으로는 △ISMS-P의 강화된 인증 기준을 통해 상시관리형 심사를 진행하는 한편, 공공 및 민간 주요처리자의 인증을 의무화하고, △개인정보 처리 유형과 특성을 반영한 위험분석을 기반으로 안전조치 기준을 차등 적용하며 △개인정보 영향평가를 통해 PbD(Privacy by Design)와 연계한 처리흐름 기반 평가 및 조치를 확대해 대규모 국외이전 영향평가제를 신설할 계획이라고 밝혔다.
특히 사고 후 대응보다 선제적 투자와 성실 관리 기업에 이익이 되는 시스템 구축을 강조하며, 기업의 △전문 CPO 지정과 CPO 거버넌스 및 이사회 보고 체계 개편 △자산 위험 식별·관리, 공급망(수탁자, 협력사 등) 관리 강화 △PbD 관점의 예방 투자 확대 및 충분한 보호활동 증적 확보 등 기업의 개인정보처리자 또는 CPO가 꼭 챙겨야 할 것들을 강조하며 개인정보보호를 규제 준수에서 경영 전략의 핵심 요소로 끌어올리겠다는 정책 방향을 밝혔다.
[엄호식 기자(eomhs@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
