이번 대책은 대규모 정보 유출이 국민 신뢰를 크게 훼손하고 2차 피해로 이어질 수 있다는 점에서 마련됐다. 개인정보 보호를 단순 비용이 아닌 전략적 투자로 인식하는 사회적 전환을 목표로 하고 있다.
개선 방안은 크게 세 가지로 나뉜다. 사고 예방 및 선제적 제도 개선을 통해 대규모 시스템 취약점을 제거하고, 이상 징후를 탐지하는 공격 표면 관리 강화를 추진한다. 주요 정보 관련 암호화 적용 확대 등 선제적 조치도 정례화한다.
상시적 내부 통제도 강화한다. 개인정보 보호 분야의 인력‧예산 기준을 마련하고, 최고경영자(CEO) 책임을 명확히 한다. 개인정보 보호 책임자는 자율성과 책임성을 가지고 여러 부서 관련 사항을 총괄할 수 있도록 법적 권한과 역할을 강화한다.
유출 가능성이 있는 모든 사람에게 신속히 통지하는 체계도 마련한다. 개인정보 보호법 위반에 따른 과징금을 실제 유출 사고 피해자 구제에 활용하는 등의 방안도 검토ㆍ추진한다.
평소 개인정보 보호를 위한 선제적 보호조치를 한 기업에 인센티브(혜택)를 제공하는 체계 역시 정비한다. 이미 유출된 개인정보가 불법 유통됐는지 여부를 탐지해 2차 피해 예방을 적극 지원할 계획이다.
개인정보 보호 수준을 객관적으로 평가‧인증하는 ‘개인정보보호 관리체계(ISMS-P)’ 인증 제도는 신종 해킹기법을 고려한 현장 심사 중심으로 고도화한다. 사고 기업에 대한 사후 관리도 강화한다. 장기적으론 핵심 공공 시스템‧이동통신 서비스 등에 순차 의무화하고, 전반적인 인증 품질 향상을 위한 제도 개선를 추진할 계획이다.
현재 공공기관에 의무 적용되고 있는 ‘개인정보 영향평가’를 민간에서도 활성화할 수 있도록 대상‧방법‧기준을 구체화한다. 이는 위험 요인을 사전 분석하고 개선하기 위한 평가다. 평가 기관‧인력 전문성 역시 제고할 계획이다.
대규모 수탁사나 솔루션 공급자와 같은 법적 사각지대 관리도 강화한다. ‘개인정보 안심설계 인증제’를 도입해 중소 사업자가 개인정보 보호 수준이 검증된 제품을 사용하도록 권장한다.
시장 감시‧권리 구제 지원을 위한 ‘개인정보 옴부즈만’도 설치한다. 전문 인력 양성과 신기술‧신제품의 개인정보 침해 위협 관련 선제 대응을 통해 정보 주체의 권리 구제 기반을 강화할 예정이다.
기업에서 개인정보 유출과 같은 예상치 못한 사고가 벌어졌을 경우, 이에 대비할 수 있도록 다양한 보험 상품 개발‧개선도 유도한다. 이를 통해 손해배상 보장 제도의 내실화 및 유연화, 자율적 피해 구제 확산을 지원할 계획이다.
개인정보위는 이번 발표 방안이 산업 현장에 실질적으로 적용될 수 있도록 추가 의견 수렴 등을 통해 이행 가능한 합리적 기준을 명확히 설정할 계획이다. 이를 법령‧고시에 반영하거나 관련 예산을 확보하는 등 후속 조치를 추진한다.
개인정보위 관계자는 “이번 사안을 계기로 기업의 안일한 보안 관행을 바로잡고, 국민이 안심할 수 있는 개인정보 보호 환경을 조성하겠다”며 “정보통신기술(ICT) 시대에 걸맞은 선제적 관리·감독 체계를 구축해 나갈 것”이라고 강조했다.
고학수 개인정보위원장은 “대규모 개인정보를 처리하는 사업자들은 개인정보 보호 관련 투자를 ‘불필요한 비용’이 아닌 고객 신뢰 확보를 위한 ‘기본적 책무’이자 ‘전략적 투자’로 인식해야 한다”며 “이번 조치가 개인정보 보호에 대한 국민적 신뢰가 확산되는 계기로 작용하길 바란다”고 말했다.
한영훈 기자han@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
