"제2 듀오 사태 막는다"…개인정보위, 결혼정보업체 등 고위험 분야 직접 관리[일문일답]

[서울=뉴시스]윤정민 기자 = 정부가 개인정보 관리체계를 사후 처벌에서 사전 예방 중심으로 전환한다. 반복적이거나 중대한 개인정보 유출 사고를 낸 기업에는 매출액 최대 10%의 징벌적 과징금을 부과하고 고위험 공공·민간 시스템에 대한 직접 점검도 확대한다.

송경희 개인정보보호위원회 위원장은 12일 오후 정부서울청사에서 열린 브리핑에서 "이제는 개인정보 보호 투자보다 사고 후 부담 비용이 더 싸다는 계산이 통하지 않도록 하겠다"며 이같이 밝혔다.

개인정보위에 따르면 오는 9월부터 반복적이거나 중대한 개인정보 유출 사고를 낸 기업에는 매출액의 최대 10%까지 징벌적 과징금이 부과된다. 적용 대상은 3년 내 반복 사고가 발생했거나, 1000만명 이상 이용자 규모 사업자에서 중대한 사고가 발생한 경우 시정명령 이후에도 개선하지 않아 사고가 난 경우 등이다.

과징금 산정 기준도 강화된다. 지금까지는 3년 평균 매출액을 기준으로 했지만 앞으로는 3년 평균 매출액과 직전 연도 매출액 중 더 높은 금액을 적용한다. 조사에 협조하지 않는 사업자에 대해서는 증거보전 명령과 이행강제금 부과 제도도 도입할 계획이다.

개인정보위는 고위험 분야에 대한 직접 점검도 확대한다. 387개 주요 공공시스템과 100만명 이상 개인정보를 처리하는 통신·복지 등 고위험 분야를 직접 관리하고 대규모 개인정보를 보관한 클라우드 사업자와 전문수탁자, 시스템 공급사 등 공급망 전반으로 점검 범위를 넓힐 방침이다.

최근 결혼정보업체·통신사·이커머스 업체 등에서 대형 개인정보 유출 사고가 잇따르면서 기존 사후 처벌 중심 체계만으로는 한계가 있다는 지적이 제기돼 왔다. 특히 민감정보가 대규모로 유출됐는데도 과징금 규모가 상대적으로 작다는 비판도 이어졌다.

이 가운데 듀오는 지난해 직원 PC 해킹으로 회원 42만7464명의 종교, 혼인경력, 직장, 학교, 신체정보 등 민감정보가 유출돼 최근 개인정보위로부터 과징금 11억9700만원 처분을 받았다.

현행 제도가 매출액 기반으로 과징금을 산정하는 구조다 보니 제재 규모가 제한됐다는 분석이 나온다. 최근 3년간 평균 매출액이 400억원대 수준이었고 중기업 감경 기준까지 적용되면서 과징금 규모가 10억원대로 산정됐다. 이 때문에 온라인에서는 "민감정보 유출인데 제재가 약하다"는 비판이 제기됐다.

송 위원장은 "현재 체계는 매출액 기반이다 보니 국민들이 느끼는 사건 심각성에 비해 제재 규모가 작다고 느낄 수 있다"며 "실질적인 사전 예방 투자로 연결되지 않는다면 유사한 사고가 계속 일어날 개연성이 높다"고 말했다.

이어 "앞으로는 위험 기반 관리체계로 전환하겠다"며 "민감한 정보를 많이 관리하는 분야에는 훨씬 강화된 안전조치 기준을 적용하고, 그렇지 않은 분야는 보다 완화된 기준을 적용해 과소 규제와 과잉 규제 부작용을 줄이겠다"고 밝혔다.

개인정보위는 결혼정보업체·상조업체·상담센터 등 민감정보를 대량 보관하는 분야를 고위험 영역으로 보고 사전 실태점검을 강화할 방침이다. 또 유출 정보가 다크웹이나 소셜네트워크서비스(SNS) 등에서 불법 유통되는지 지속 모니터링하고, 신속 탐지 후 삭제 조치도 병행할 계획이다.

다음은 송 위원장과의 일문일답.

-강화된 과징금 기준은 쿠팡 사건에도 적용되나

"징벌적 과징금은 9월 11일부터 시행되고, 매출액 산정기준 강화 시행령은 5월 19일부터 적용된다. 모두 시행 이후 발생한 사건부터 적용된다. 법적 안정성과 기본 원칙에 따라 그렇게 적용하는 것이 맞다. 쿠팡에 대해서는 철저하게 법 원칙에 따라 처리할 것이고, 잘못한 책임이 있다면 책임에 상응하는 처분을 내리기 위해 최선을 다하고 있다."

-쿠팡·KT 개인정보 유출 사고 조사는 어디까지 진행됐나

"쿠팡 조사는 마무리됐다. 사전통지를 보냈고 사업자 의견을 받아 검토 중이다. 검토가 끝나면 개인정보위 전체회의에서 의결할 예정이다. KT 역시 조사와 사전통지를 마쳤고 현재 사업자 의견을 받고 있다. 법리와 조사 사실에 근거해 검토를 마무리한 뒤 전체회의에서 처분할 예정이다. 오래 걸리지는 않을 것으로 본다."

-듀오 사례처럼 민감정보 유출인데도 과징금이 적다는 비판이 있다

"현재 체계는 매출액 기반 과징금 구조라 사건 심각성에 비해 제재 규모가 작다고 느낄 수 있다. 현행 법상 한계가 있었다.

다만 단순히 처벌만 강화한다고 해서 문제가 해결되는 것은 아니다. 실질적인 사전 예방 투자로 이어지지 않으면 유사한 사고가 계속 반복될 가능성이 높다. 앞으로는 위험 기반 관리체계로 전환해 민감정보를 많이 보관하는 분야에는 훨씬 강화된 안전조치 기준을 적용할 계획이다."

-정부가 직접 관리하는 고위험 시스템은 어떤 곳인가

"387개 주요 공공 시스템과 100만명 이상 개인정보를 처리하는 통신·복지 등 고위험 분야는 개인정보위가 직접 점검·관리할 계획이다. 통신·금융·의료·복지·공공 분야처럼 개인정보가 많이 축적된 영역을 집중 관리할 생각이다."

-AI 기반 해킹 위협에는 어떻게 대응할 계획인가

"앞으로의 공격은 AI가 더욱 첨예하게 수행할 수 있다는 우려가 커지고 있다. 개인정보위도 기술적·법률적 검토를 계속 진행하고 있다. 사전 예방 체계를 제대로 갖추면 공격이 발생하더라도 조기에 탐지하고 피해 확산을 차단할 수 있다. 개인정보 관리체계는 단순히 성벽을 높이는 것이 아니라 권한과 접근을 세분화해 하나가 뚫려도 전체로 확산되지 않도록 하는 체계다.

앞으로는 공격뿐 아니라 방어도 AI가 하는 방향으로 갈 것이다. 사람 중심 방어체계에서 AI 에이전트가 빠르게 탐지·대응하는 체제로 전환해야 한다."


◎공감언론 뉴시스 [email protected]