개보위 "주요 공공시스템 387개 직접 관리"
올 하반기부터 주요 공공시스템과 대규모 개인정보를 처리하는 약 1700개 고위험 시스템에 대해서는 정부가 직접 정기적인 점검을 실시한다. 특히 이중 320여 기관의 주요 공공시스템(387개)과 교육·복지, 통신 등 고위험 분야는 개인정보위가 직접 집중 관리한다. 또 선제적인 개인정보 보호 투자를 한 기업과 기관은 합당한 인센티브를 준다. 개인정보보호위원회(개인정보위)는 이 같은 내용을 담은 '예방 중심 개인정보 관리체계 전환 계획'을 12일 대통령 주재 국무회의에서 보고했다. 이번 계획은 AI 디지털 전환과 플랫폼 경제 확산으로 개인정보 활용이 전 분야에서 빠르게 늘어나는 상황에서, 사회 전반의 개인정보 보호 수준을 높이고 대형화되는 유출사고에 보다 실효적으로 대응하기 위해 마련됐다. 주요 추진내용은 다음과 같다. 중대·반복 위반 제재 강화로 억지력 제고 먼저, 반복적이거나 중대한 개인정보 보호법(이하 보호법) 위반행위에 대해서는 매출액의 최대 10%까지 과징금을 부과해 경제적 제재의 실효성을 높인다. 과징금 산정 기준도 현행 '3년 평균 매출액'에서 '직전 연도 매출액'과 '3년 평균 매출액' 중 높은 금액을 적용한다. 또한 신속한 조사와 처분을 위해 이행강제금을 부과하는 제도를 도입한다. 증거 은닉 행위는 제재를 강화하는 한편 신고포상금 제도도 도입할 계획이다. 다만, 영세기업의 경미한 보호법 위반은 재발 방지와 개선을 위한 시정 기회를 부여하되, 위반이 반복될 경우에는 엄정 대응할 방침이다. 자발적 보호투자 확대 및 위험기반 관리체계 구축 기업이 형식적인 보호법 준수를 넘어 실질적인 개인정보 보호 수준 향상을 위한 투자 확대와 책임경영을 강화하도록 유도한다. 앞으로는 법정 기준을 상회하는 선제적 보호조치, 적극적인 보안투자, 실효적인 안전관리체계 운영 여부를 종합적으로 평가해 과징금 감경 등 인센티브를 부여할 예정이다. 이와 함께 오는 9월부터 시행하는 경영진의 개인정보 보호 책임이 충실히 이행될 수 있도록, 기업의 개인정보 보호활동을 공개하도록 유도해 기업 스스로 보호 역량을 높이도록 할 계획이다. 이날 열린 추가 브리핑에서 송경희 위원장은 "개보위가 마련한 안전성 확보 조치 기준에 따른 투자는 최소한의 투자"라며 "열심히 예방 투자를 하면 그에 따른 인센티브를 주는게 우리가 시장에 보내는 메시지"라고 밝혔다. 한편, 개인정보위도 위험 수준에 따라 차등적으로 점검하는 위험기반 관리체계를 구축한다. 또 기업과 산업 전반의 개인정보 보호 경쟁력을 높이기 위해 클라우드 사업자, 전문수탁사, 시스템 공급사를 포함해 공급망 전반으로 점검을 확대한다. 개인정보위는 현재 상조 회사, 고객상담센터 등을 점검하고 있으며, 조속히 마무리해 발견된 미비점은 시정을 권고할 예정이다. 개인정보 처리 환경이 갈수록 복잡해짐에 따라 서비스가 출시된 이후에는 침해를 인지하거나 방지하기가 쉽지 않은 만큼, 시스템 설계 단계부터 개인정보 보호를 반영하는 개인정보 중심 설계(PbD, Privacy by Design)의 필요성도 커지고 있다. 이에 개인정보위는 서비스 기획·설계 단계부터 PbD 원칙이 반영되도록 PbD 원칙을 제도화한다. 또한 개인정보 영향평가 기준과 ISMS-P 인증 기준에 개인정보 보호 중심설계 원칙을 반영할 계획이다. 개인정보위는 지난 2월 현황 조사를 통해 공공부문의 개인정보 보호 인력과 예산 부족을 확인한 바 있다. 인력 관련 송 위원장은 "평균 3.3명"이라고 설명했다. 이에 관계부처와 협력해 전담 인력과 예산을 확충하고, 민관 협력을 통해 전반적인 보호 수준을 끌어올릴 계획이다. 송 위원장은 "보안 솔루션을 적용한다든지 취약점 점검을 위한 모의 해킹 등은 예산이 필요하고, 이를 예산 당국과 이야기 하고 있다"고 말했다. 개인정보 보호 전담인력의 처우 개선도 함께 추진한다. 개인정보 보호 전문인력 양성 기반도 구축한다. 현장에서 실제 문제를 해결할 수 있는 전문인력을 양성하기 위해 대학원 과정을 권역별, 지역별로 확대해 나갈 방침이다. 정책 담당자, 개발자, 사고 대응 조직과 같이 대상별 직무를 분석해 맞춤형 실무 교육 프로그램도 새롭게 설계해 운영할 계획이다. 신속한 피해구제와 회복 지원 개인정보 유출로 인한 국민 피해를 보다 실질적으로 구제하기 위해, 유출 사고 시 기업·기관의 손해배상 책임을 원칙으로 하고, 전반적인 입증 책임을 기업이 지도록 해 법정 손해배상 제도를 활성화한다. 또한 다크패턴처럼 이용자를 속이거나 오인하게 만들어 개인정보 수정, 동의 철회, 탈퇴를 어렵게 하는 행태를 집중 점검하고, 개인정보 침해신고센터도 전문상담과 컨설팅, 피해조치 지원 등 기능을 강화한다. 민감정보 유출 시에는 SNS 등에서의 불법 유통 여부를 모니터링하여 탐지·삭제하고, 수사기관과 협력해 개인정보 불법 유포자와 이용자를 끝까지 추적·처벌하는 등 엄정 대응할 방침이다. 개인정보위 송경희 위원장은 “모든 사고가 그렇듯이, 개인정보도 한 번 유출되면 피해를 온전히 되돌리기 어렵고 회복에도 긴 시간이 걸린다.”면서 “개인정보위는 앞으로 사후 책임에 더해 사전예방이 잘 작동할 수 있는 체계를 구축하여 국민의 정보를 보다 안전하게 지키고 국민이 신뢰할 수 있는 개인정보 활용 환경을 만들어가겠다”고 밝혔다. 한편 송 위원장은 개인정보 대량 유출로 과징금 판결을 앞두고 있는 쿠팡과 KT에 대해 "빠르게 일정을 진행하고 있다"고 밝혀 조만간 두 사건에 대해 판결이 있음을 시사했다. ■ 주요 질의답변 Q1: 왜 지금 예방 중심 개인정보 보호 체계로 전환하는가? "AI·디지털 전환과 플랫폼 경제 확산으로 개인정보 활용 규모·범위 확대되어 유출사고는 대형화되고, 새로운 프라이버시 위험영역(gray area)이 증대되고 있다. 사후 규제만으로는 유출로 인한 피해 회복이 어렵고, 기존 제도보다 앞서나가는 새로운 위협을 효과적으로 통제할 수 없다. AI 시대 최적의 개인정보 보호 방법은 철저한 사전 예방 관리다. 정확한 정보자산 식별, 개인정보 접근 권한 최소화 등 예방 관리를 철저히 함으로써 유출 사고를 미연에 방지하고, 설령 사고가 나더라도 피해를 최소화할 수 있으며 신속히 탐지·복구할 수 있다." Q2: AI 시대에는 기업의 데이터 활용이 중요한데, 예방을 강조하여 규제를 강화하면 한국 기업의 글로벌 경쟁력을 약화시키는 것 아닌가? "개인정보 보호는 기업 경쟁력의 제약이 아니라, 지속 가능한 데이터 활용과 혁신의 기반이다. 이용자와 국민이 기업의 고객정보 관리에 대해 신뢰를 가져야만, 기업도 안심할 수 있는 환경에서 맞춤형 서비스, 데이터 기반 혁신, AI 활용을 지속적·효과적으로 확대할 수 있다. 현재 개인정보 안전에 대한 국민 신뢰 수준이 매우 낮은 수준이다. 국가데이터처 사회안전인식도 2024년 조사에 따르면, 국민 10명 중 6명이 개인정보 유출에 불안하다고 했다. 사전 예방 관리체계 전환을 통해 사회 전반의 보호 수준을 끌어올리고, 국민이 신뢰할 수 있는 데이터 활용 환경을 조성할 필요가 있다. Q3. CEO, CPO의 책임을 강화하는 추세인데, CEO가 개인정보 보호를 위해 어떤 것을 챙겨야 한다고 보는가? "개인정보 보호를 단순한 규제 준수나 비용 문제가 아니라, 기업 신뢰와 지속가능한 성장을 좌우하는 경영의 핵심 의제로 인식하는 것이 중요하다. 기업·기관은 개인정보 수집·이용·보관·제공·파기 등 개인정보 생애주기 전반을 파악하고 각 단계에서 필요한 안전조치가 이행되도록 관리해야 하며, 개인정보 보호는 일회성 대응이 아닌 기획·개발·운영 전 과정에서 위험요인을 점검·개선하는 지속적인 관리 과정이어야 한다. 아울러 대표자는 이러한 체계가 현장에서 작동할 수 있도록 예산, 인력, 시스템 등 필요한 경영자원을 투입하고, CPO가 조직 내에서 실질적인 권한과 책임을 갖고 역할을 수행할 수 있도록 지원해야한다. '개인정보 보호법' 개정('26.9.11. 시행)으로 CEO에 개인정보 처리·보호의 최종책임자로서의 관리·감독 의무 부여, CPO 지정·변경·해제 시 이사회 의결 및 신고가 의무화됐다. Q4. 미토스 등장으로 인해 보호 환경이 달라졌다. 예방중심의 새로운 대책이 새로운 환경에서도 효과적이라고 보는가? "AI 기반 공격이 현실화되고 보호 환경은 빠르게 바뀌고 있지만, 개인정보 보호의 본질은 변하지 않는다. 해킹 공격이 고도화·지능화될수록 정보자산 식별, 상시 위협 탐지, 철저한 개인정보 접근 권한 관리 등 기술적·관리적·물리적 보호조치를 포함한 안전조치를 충실히 이행하는 것이 매우 중요하다는 게 전문가들의 공통적 의견이다. 이러한 보호체계가 제대로 작동해야 사고 예방과 함께 사고 시 신속한 복구가 가능하며, 예방 중심 관리체계를 통해 새로운 환경에서도 기본 보호체계의 실효성을 높이도록 하겠다." Q5. 이번 계획 발표 관련, 후속 조치는 어떻게 진행되는가? "이번 예방 중심 안전관리체계 전환 계획은 크게 세 가지 내용으로 구성돼 있다. 첫째, '중대·반복 위반에 대한 제재 강화'의 경우, 징벌적 과징금 부과는 법률 개정을 통해 올해 9월부터 시행되며, 시행령 등 하위 법령 마련 과정에서 구체적인 내용이 담긴다. 둘째, 과징금 부과 시 매출액 산정 기준 강화 역시 이 달 중 시행령 개정 절차가 마무리될 예정이며, 이행강제금 도입 등 조사의 강제력 강화 역시 관련 법안이 발의되어 있는바, 국회 심의를 적극 지원하겠다. 셋째, '자발적 보호투자 확대' 및 '위험 기반 관리체계 구축'은 5월말 경제관계장관회의를 통해 상세 내용을 발표할 예정이다. 국민의 권리 보호 강화를 위한 침해신고센터 기능 강화, 인력 확충 등은 2027년 예산 확보 등을 통해 단계적으로 실행해 나갈 계획이다."
