송경희 개보위원장 "쿠팡, 불법 요소 상당...SKT보다 더 많은 베테랑 투입"
송경희 개인정보보호위원장은 21일 서울 중구 프레스센터에서 열린 신년 기자간담회에서 쿠팡 개인정보 유출 사고와 관련해 "불법 요소가 상당하다. 조사도 상당히 진행됐다"면서 "해외 사업자든 국내 사업자든 똑같이 법에 근거해 개인정보보호법 위반 여부를 조사하고 있다"고 밝혔다. 또 미국의 압박 여부를 묻는 기자 질문에 "국내 기업이냐 해외 기업이냐는 전혀 고려하고 있지 않다"고 재차 강조하며 "국민에게 준 피해 규모가 얼마나 되는지, 제대로 개인정보보호 조치를 했는지만을 법에 따라 엄격히 보고 있다"고 말했다. 현재 개보위는 조사관 14명을 투입해 쿠팡 사건을 조사하고 있는데 송 위원장은 "SKT 사고때보다 더 많은 숫자다. 굉장히 경험이 많은 베테랑급 조사관들을 투입했다"면서 "보상 문제는 나중에 과징금 처분할 때 고려하게 돼있다"고 덧붙였다. 쿠팡의 개인정보 유출 규모에 대해서는 "ID 등 개인정보라고 볼 수 있는 내용이 3000만명 이상이며, 비회원 정보도 충분히 유출될 수 있다. 회원, 비회원 정보를 포함해 유출 규모를 300만명 이상으로 보고 있으며, 정확한 정보 유형과 범위를 정밀하게 확인중"이라고 덧붙였다. 앞서 쿠팡은 자체 조사를 근거로 3000개 계정만 유출됐다고 주장한 바 있다. 롯데카드와 넷마블 등의 개인정보유출 사건 조사 결과에 대해서는 "조사를 신속히 하고 있다. 멀지않은 시간에 마무리 될 것"이라고 전했다. 또 최근 개인정보유출 사고를 일으킨 상조회사 2곳을 조사하고 있으며, 이와함께 나머지 상조회사 3곳도 사전 점검차원에서 점검하고 있다고 공개했다. 미국 해킹 잡지 프랙이 작년에 언급한 우리나라 중앙부처의 해킹 사건과 관련해서는 "계속 조사를 하고 있다. 관련자료와 증거를 확보하고 있는 중이다. 우리만 하는 건 아니고, 관련 기관과 같이 보고 있다"고 밝혔다. SKT가 지난 19일 개보위를 상대로 낸 행정소송에 대해서도 입장을 밝혔다. 가입자 2300만여 명의 개인정보 유출로 개보위에서 약 1348억 과징금을 부과받은 SKT는 이 처분에 불복, 행정소송을 제기했다. 송 위원장은 "적극 대응하겠다. 법적인 사항들을 철저히 검토하고 선정한 것"이라고 들려줬다. 개보위 과징금에 불복, 행정소송을 제기한 건 이번이 처음은 아니다. 앞서 네이버, 구글, 메타 등이 행정소송을 제기, 이긴 바 있다. SKT의 과징금이 과도하다는 일각 주장에 대해서는 "정보를 저장·활용하는 과정에서 통제를 제대로 하지 않아 정보주체에 피해를 끼친 데 책임을 묻는 것"이라며 원론적 입장을 보였다. LG유 플러스 서버 폐기 건도 의견을 밝혔다. "매우 심각한 문제라 보고 있다"면서 이런 사례가 재발되지 않게 '자료 보존 명령' 등의 법적 근거를 신설하는 법률안을 마련하고 있다고 전했다. KT 사고 건의 경우 다음 달 중 과징금 처분 건을 위원회 회의에 상정해 의결할 것이라는 전망이 나오고 있는데, 이에 대해 송 위원장은 구체적인 시기를 언급하지 않은채 "조사가 거의 마무리 단계에 있다"고 밝혔다. 또 법적으로 개인정보 보호 책임자를 별도로 지정할 의무가 없지만, 언제든 해킹에 노출돼 있음에도 준비에 여력이 없는 영세사업자들에 대해서는 예산을 투입해 소규모지만 먼저 컨설팅사업을 시행, 점차 예산 규모를 늘려나가겠다고 말했다. 개보위가 법률 개정을 추진하고 있는 항목도 소개했다. 징벌적 과징금 10% 상향과 ISMS-P의무화, 보안 사고 CEO의 책임 명시와 CPO 지정 신고제, 인센티브 제도 등이다. 개정안 외에 새 법률안도 준비중이다. ISMS-P 의무화에 대해서는 "사전심사제와 인증 취소 등 여러 개선안을 준비하고 있다"고 밝혔다. ISMS-P 준수 항목은 101개로 이중 80개는 정보통신망법이 요구하는 것이고,나머지 21개 항목은 개보위법에 따른 것이다. ISMS-P 인증을 받은 곳은 264개로, 이중 25개 기업에서 해킹 사고가 발생해 인증 무용론이 제기됐는데, 개보위는 현재 이들 25개 기업 전부를 현장조사하고 있다. 작년 10월 10일 3대 위원장 취임..."지난 100여일 굉장히 바쁘게 보내" 송 위원장은 작년 10월 10일 3대 개보위위원장에 취임했다. 지난 14일이 취임 100일이였다. 그는 기자간담회전 인사말에서 "지난 100여일을 굉장히 바쁘게 보냈다. 변화가 너무 빠르게 일어나고 있고, 국민 눈높이도 높아졌다. 그만큼 우리 개인정보위 직원들도 고생을 많이 하고 있다"고 운을 뗐다. 이어 그동안 개인정보 보호체계를 사후제재가 아닌, 사전예방 방식으로 전환하기 위한 기반 마련에 집중해 왔다면서 "이러한 전환은 단지 정책 기조의 변화가 아니라, 현재 우리가 처한 기술·사회 환경의 변화에 대한 적극적인 대응이라고 생각한다. 지난 100일 간의 시간을 돌아보면 개인정보위가 가장 주목받은 부분은 안타깝게도 통신사, 유통 플랫폼 등 국민생활 밀접분야에서 발생한 대규모 개인정보 유출사고였다"면서 "이들 기업은 대량의 개인정보를 보유하고 있는 만큼, 그에 상응하는 높은 수준의 보호조치가 요구된다. 그럼에도 불구 실제 조사 과정에서 확인된 많은 사고들은, 첨단 해킹 기법보다는 기본적인 관리·점검·통제의 부재에서 비롯된 경우가 적지 않았다"고 짚었다. 이는 개별 기업 문제 뿐 아니라, 사후 대응에 치중해 온 기존 보호 체계의 구조적 한계를 보여주는 측면도 있다고 생각한다면서 "특히 AI와 자동화 기술이 확산된 환경에서는, 개인정보 침해가 발생한 이후 조사하고 처벌하는 방식만으로는 국민을 실질적으로 보호하기 어렵다. AI 기반 서비스와 플랫폼 환경에서는 한 번의 관리 실패가 단기간에 대규모·연쇄적 피해로 확산될 수 있고, 사고를 인지하고 대응했을 때는 이미 개인정보가 복제·유통된 이후인 경우가 많다"면서 "이러한 환경에서 개인정보 보호의 핵심은 사고 이후 책임을 묻는 것은 충분하지 않다. 사고가 발생하지 않도록 설계 단계에서부터 위험을 관리하는 것으로 이동할 수밖에 없다. 이것이 개인정보보호위원회가 사후 제재 중심 체계에서 사전 예방 중심 체계로의 전환을 강조하는 이유이며, AI 시대 개인정보 보호가 갖는 가장 중요한 의미라고 생각한다"고 진단했다. 이어 사전 예방 중심 체계로의 전환이 제재를 약화시키는 것을 의미하지는 않는다면서 "예를 들어 중대·반복 위반에 대해서는 징벌적 과징금 특례를 도입(전체 매출액의 10%까지 부과 가능)을 추진중이다. 이는 처벌을 강화하기 위한 목적이 아니라, 개인정보 보호를 기업의 선택이 아닌 경영의 전제 조건으로 인식하도록 하는 구조적 장치"라면서 "동시에, 기업이 선제적으로 개인정보 보호에 투자하고 예방 조치를 충실히 이행한 경우에는 과징금 감경 등 인센티브제도의 법적 근거를 확보해 예방 중심 관리가 합리적인 선택이 되도록 정책적 유인을 강화하겠다"고 설명했다. 또 개인정보 보호 책임 구조 자체를 근본적으로 강화하겠다면서 "전사적 개인정보 관리체계가 작동할 수 있도록 CEO의 개인정보 보호에 대한 최종 책임을 명확히 하고, CPO의 권한 강화와 CPO 지정 신고제 도입 등을 포함한 법 개정도 추진 중이다. 유출 사고 발생 시 정보주체가 실질적인 보호와 구제를 받을 수 있도록 피해구제 제도 전반에 대한 개선 방안도 함께 마련하고 있다"면서 "법령 개정이 필요한 사항은 입법 절차를 신속히 추진해 사전 예방 중심 보호 체계가 현장에서 안정적으로 정착될 수 있도록 하겠다"고 밝혔다. 개보위는 조직과 인프라 측면에서도 예방 기능을 강화하고 있다. 지난해 말 사전 예방을 전담하는 부서를 신설했고, 포렌식 센터도 문을 열었다. 올해는 기술분석 센터를 구축할 예정이다. 이러한 체계를 통해 주요 분야에 대한 사전실태점검 및 예방적 조치가 제대로 이뤄질 수 있도록 하겠다는 것이다. 송 위원장은 "개인정보 보호 신뢰 기반의 AI 융합사회를 촉진하기 위한 공공, 민간의 안전한 AX도 적극 지원하겠다. 공공기관에 축적된 고품질 데이터가 안전하게 가명처리되어 활용되도록 밀착 지원하는 '가명정보 원스톱 지원', 비조치의견서 시범운영, 개인정보 이노베이션 존 등 사업도 적극 추진하겠다"면서 'AI 사업 추진시 개인정보 침해 위협이 우려되거나 불확실한 경우, '공공 AX혁신지원 헬프데스크'를 통해 사전 컨설팅을 받을 수 있도록 지원하는 방안을 추진하겠다. 아울러 딥페이크 등 AI시대 새로운 개인정보 침해 위협에도 지속적으로 대응하며 신뢰 기반의 AI시대를 위한 개인정보 처리 기준에 대한 연구에도 박차를 가하겠다"고 밝혔다.
