해킹 사고 반복 기업, 더 강력한 제재 받는다…개인정보 보호 강화 방안 발표

이제 해킹 사고가 반복되는 기업은 더 엄중한 처벌을 받게 될 전망이다. 개인정보보호위원회는 11일, 국민 생활에 큰 영향을 미치는 대규모 개인정보 유출 사고를 예방하기 위한 ‘개인정보 안전관리 체계 강화 방안’을 발표했다. 이는 지난 4월 18일 발생한 에스케이텔레콤(SKT) 고객정보 유출 사고에서 드러난 제도적, 기술적 미비점을 보완하고 기업의 선제적이고 적극적인 개인정보 보호 노력을 유도하는 데 초점을 맞췄다.

**그래서 무엇이 달라지는데?**

이번 강화 방안의 핵심은 두 가지다. 첫째, 개인정보 보호를 위해 선제적이고 적극적인 안전조치를 취한 기업에게는 과징금 감경 등의 인센티브를 제공한다. 둘째, 해킹 사고가 반복되는 기업에 대해서는 과징금을 가중하고, 나아가 징벌적 과징금 부과까지 검토하며 처벌의 실효성을 높인다. 또한, 개인정보 유출 사고 발생 시 실제 피해자는 물론, 유출 가능성이 있는 모든 사람에게까지 통지를 확대하여 추가 피해 확산을 막는다.

**어떤 기업이 혜택을 받나?**

개인정보 보호를 위해 외부 노출 취약점을 제거하고, 이상 징후를 탐지하는 등 공격 표면 관리를 강화하는 기업이 해당된다. 또한, 주요 정보에 대한 암호화 적용을 확대하고 이를 정례화하는 기업도 인센티브를 받을 수 있다. 개인정보 보호 분야의 인력 및 예산 투자 기준을 마련하고 이를 충족하기 위해 노력하는 기업도 다양한 혜택을 고려받게 된다.

**어떻게 신청해야 하나?**

개인정보 보호를 위한 선제적·적극적 조치를 취한 기업은 별도의 신청 절차 없이, 개인정보보호위원회의 점검 및 평가를 통해 인센티브 대상 여부가 결정될 예정이다. 또한, 개인정보보호 수준을 객관적으로 평가·인증하는 개인정보보호 관리체계(ISMS-P) 인증 제도를 고도화하고, 사고 기업 대상 사후 관리를 강화하여 기업들이 더욱 철저하게 개인정보를 관리하도록 유도할 방침이다.

**신청 시 유의할 점과 추가 팁**

이번 강화 방안은 그동안의 사후 땜질식 처방과 제재만으로는 급속히 발전하는 해킹 기술에 적절히 대응하기 어렵다는 문제 인식에서 출발했다. 따라서 기업들은 최고경영자(CEO)가 개인정보 보호 관련 위험 관리 및 내부 통제에 대한 최종 책임을 진다는 점을 명확히 인지해야 한다. 개인정보보호책임자는 자율성과 책임성을 가지고 여러 부서의 개인정보 처리를 총괄하도록 지정 신고제를 도입하고, 연 1회 이사회 보고 및 직무 여건 보장 등 법적 권한과 역할이 강화된다.

이와 더불어, 일정 규모 이상의 기업은 개인정보 유출과 같은 예상치 못한 사고에 대비하기 위한 다양한 보험 상품 개발 및 개선 유도를 통해 손해배상 보장 제도를 내실화하고 유연화하여 자율적 피해 구제 확산을 지원받을 수 있다. 개인정보보호위원회는 이번에 발표한 강화 방안을 현장에서 실질적으로 적용할 수 있도록 사업자 설명회와 의견 수렴을 통해 합리적인 기준을 명확히 설정하고, 이를 법령·고시에 반영하거나 관련 예산을 확보하는 등 후속 조치를 추진할 예정이다. 개인정보위는 시장 감시와 권리 구제 지원을 위한 개인정보 옴부즈만을 설치하고, 전문 인력 양성과 신기술·신제품의 개인정보 침해 위협에 선제적으로 대응함으로써 정보 주체의 권리 구제 기반을 강화할 계획이다.