SKT 고객정보 유출 사고, 개인정보 안전관리 체계 전면 강화로 더 안전하게 보호받는다

이제 개인정보 유출 걱정은 덜어도 된다. SKT 고객정보 유출 사고를 계기로 개인정보보호위원회가 개인정보 안전관리 체계를 대대적으로 강화하는 방안을 추진하기 때문이다. 이번 대책으로 나도 모르게 내 정보가 새어나갈 걱정을 줄이고, 혹시 모를 사고 발생 시에도 더 든든하게 보호받을 수 있게 된다.

**그래서 내가 얻는 혜택은 무엇일까?**

가장 큰 변화는 바로 ‘예방’에 초점이 맞춰졌다는 점이다. 이전에는 사고가 터진 후에야 제재를 가하는 사후 조치가 주를 이뤘다면, 이제는 기업들이 사고를 미리 막을 수 있도록 적극적으로 투자하고 노력하도록 유도한다. 또한, 해킹 등 신종 범죄로부터 내 정보를 보호하기 위한 기술적인 조치들이 강화되며, 만약 사고가 발생하더라도 피해를 입은 나를 포함한 모든 사람에게 신속하게 알려 추가 피해를 막고, 과징금이 실제 피해 회복에 사용될 수 있도록 하는 등 나의 권리 구제 또한 실질화된다.

**어떤 사람들이 혜택을 받을 수 있나?**

이번 강화 방안은 SKT와 같이 대규모 개인정보를 처리하는 사업자를 대상으로 하지만, 궁극적으로는 이들 사업자가 안전하게 정보를 관리하게 됨으로써 모든 국민이 개인정보 유출의 위험으로부터 더 안전하게 보호받게 된다. 특히, 개인정보 보호를 소홀히 하는 기업에 대해서는 과징금 가중 등 엄중한 제재가 가해지고, 사고가 반복되는 기업은 강력한 제재를 받게 되어 개인정보 보호 수준이 전반적으로 향상될 것으로 기대된다.

**어떻게 강화되기에 더 안전해지는 걸까?**

**1. 사고 예방 및 선제적 제도 개선:**

* 주요 개인정보 처리 시스템에 대한 외부 노출 취약점 제거, 이상 징후 탐지 등 공격 표면 관리를 강화한다.

* 중요한 정보에 대한 암호화 적용을 확대하고, 이러한 선제적 조치를 정례화한다.

* 사전에 개인정보 보호를 위한 적극적인 조치를 취한 기업에게는 과징금 감경 등의 인센티브를 제공한다.

* 유출된 개인정보가 불법 유통되는지 탐지하고, 발견 즉시 해당 사업자 및 유관기관에 공유하여 2차 피해 확산을 적극적으로 지원한다.

* 개인정보보호 관리체계(ISMS-P) 인증 제도를 고도화하고, 핵심 공공시스템 등 대상으로는 단계적 의무화를 추진한다.

**2. 상시적인 내부 통제 강화:**

* 개인정보 보호 분야의 인력 및 예산 투자 확대를 위한 구체적인 기준을 제시하고, 이를 충족하는 기업에 인센티브를 제공한다.

* 기업 최고경영자(CEO)의 개인정보 보호에 대한 최종 책임을 명확히 하고, 개인정보보호책임자(CPO)의 역할과 권한을 강화한다.

* 민간 부문에서도 개인정보 영향평가를 활성화할 수 있도록 기반을 마련한다.

* 대규모 수탁사 및 솔루션 공급자 등 법적 사각지대 관리를 강화하고, ‘개인정보 안심설계 인증제’ 도입을 권장한다.

**3. 엄정한 처분 및 권리 구제 실질화:**

* 개인정보 유출 사고가 반복되는 기업에 대해서는 과징금 가중 등 엄정한 제재를 부과한다.

* 유출 가능성이 있는 모든 사람에게 유출 통지를 확대하여 추가 피해 확산을 방지한다.

* 개인정보 보호법 위반에 따른 과징금을 실제 유출 사고 피해자 구제에 활용할 수 있는 방안을 검토한다.

* 시장 감시 및 권리 구제 지원을 위한 ‘개인정보 옴부즈만’을 설치하고, 전문 인력 양성 등을 통해 정보 주체의 권리 구제 기반을 강화한다.

* 예상치 못한 사고 대비를 위한 보험 상품 개발 및 개선을 유도하여 손해배상 보장 제도를 내실화한다.

**신청 방법 및 추가 정보는?**

이번 강화 방안은 주로 사업자들을 대상으로 한 정책 개선 사항으로, 별도의 개인적인 신청 절차는 없다. 하지만 이러한 정책 개선을 통해 모든 국민이 더욱 안전하게 개인정보를 보호받을 수 있게 된다.

개인정보보호위원회는 이번 강화 방안이 현장에서 실질적으로 적용될 수 있도록 사업자 설명회 및 의견 수렴을 통해 합리적인 기준을 명확히 설정하고, 법령 및 고시에 반영하며 관련 예산을 확보하는 후속 조치를 차질 없이 추진할 예정이다. 대부분의 법률 개정 사항은 2025년 연내 개정안을 마련하여 2026년 상반기 국회에 제출할 계획이며, 중장기 검토가 필요한 사항은 2026년까지 개정안 마련을 추진한다.

개인정보보호위원회 고학수 위원장은 “이번 사고를 계기로 대규모 개인정보를 처리하는 사업자들이 개인정보 보호를 위한 투자를 ‘불필요한 비용’이 아닌 고객의 신뢰 확보를 위한 ‘기본적 책무’이자 ‘전략적 투자’로 인식하길 바라며, 이를 통해 개인정보 보호에 대한 국민적 신뢰가 확산되기를 바란다”고 밝혔다.