개인정보 보호위원회

개인정보위, SKT 고객정보 유출사고 계기 「개인정보 안전관리 체계 강화 방안」 중점 추진

▷ 대규모 개인정보 처리가 수반되는 全분야 사전예방 중심의 점검 강화

▷ 개인정보 보호가  ‘비용’ → ‘전략적 투자ㆍ기본적 책무’라는 인식 전환

  ※ (현행) 비용 절감을 위해 법적 의무 사항만 최소한으로 이행하는 수동적 관행과 문화 

    (개선) 사고발생시 엄정 제재, 단 선제적ㆍ적극적 보호 활동시 처벌 경감 등 인센티브 제공

<주요 개선방안>

① 사고예방ㆍ선제적 제도개선 : 대규모 시스템 대상 적극적 취약점 제거 및 이상징후 탐지 등 공격표면관리 강화, 주요 정보 암호화 확대 등 

② 상시적 내부통제 강화 : 개인정보 보호 분야 인력/예산 기준 마련, 최고경영자(CEO) 책임 강화, 보호책임자(CPO) 역할ㆍ권한 보장 등

③ 엄정 처분ㆍ권리구제 실질화 : 사고 반복 기업에 대한 과징금 가중, 유출 가능성이 있는 자에게 통지 확대, 과징금을 피해구제와 연계 등

  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 지난 4.18일 발생한 에스케이텔레콤(이하 ‘SKT’) 고객정보 유출 사고와 같은 국민 생활에 큰 영향을 미치는 대규모 개인정보 유출 사고를 예방하기 위한 「개인정보 안전관리 체계 강화 방안」을 마련하여 추진한다.

  「개인정보 안전관리 체계 강화 방안」은 지난 SKT 고객정보 유출 사고에서 드러난 제도적ㆍ기술적 미비점을 보완하는 한편, 그간의 사후 땜질식 처방과 제재만으로는 급속히 발전하는 해킹 기술에 적절하게 대응하기 어렵다는 문제 인식을 기반으로 기업이 보다 적극적ㆍ선제적인 안전조치를 할 수 있도록 하는 인센티브 중심 체계 마련을 핵심 방향으로 하고 있다.

  개인정보위는 이번 방안을 마련하기 위하여 지난 5월부터 위원회의 여러 부서가 참여하는 전담반을 구성하고, 관련 전문가 및 사업자 간담회, 국내ㆍ외 자료 조사 등을 통해 현행 규제시스템의 문제점과 기업의 인식ㆍ관행, 인력ㆍ예산의 투자 규모, 피해자에 대한 권리구제 실효성 등을 종합적으로 분석하여 아래와 같은 개선방향을 도출하였다.

1. 현황 및 개선방향  

  ① 현행 규제시스템*은 개인정보처리자가 반드시 준수해야 하는 최소한의 법적 의무 사항을 중심으로 규율하고 있고, 기업이 이보다 더 추가적이고 적극적인 보호조치를 해야 할 제도적 유인이 부족한 상황이다.

  *「개인정보 보호법」 제29조, 시행령 제30조, 고시(개인정보의 안전성 확보조치 기준) 등

  또한, 급속히 발전하고 있는 해킹 기술을 고려할 때, 유출사고 발생시마다 각종 규제를 추가하는 기존 방식으로는 신종 해킹기법에 유연하게 대응할 수 있는 예방적 보호 체계 마련이 곤란하고, 기업이 분야별 위험도에 상응하는 최적의 안전조치를 선제적으로 채택 시행하는 것에 일정한 한계가 있어 왔다. 

  이에, 사고 발생시 엄정한 제재 기조는 유지하면서도 사후적 조치(제재, 의무화) 보다는 사전적 예방(선제적 조치, 인센티브)를 중심으로 하는 개인정보 안전관리 체계로의 패러다임 전환이 필요하다.

  ② 개인정보 보호와 관련한 국민 감수성이 상당히 높은* 편임에도 불구하고 세계적 수준에 비해 관련 인적ㆍ물적 투자 규모는 아직 낮은 수준**이며, 이는 많은 기업에서 개인정보 보호를 위한 자원 투입을 소극적 준법감시(compliance) 측면의 ‘비용’으로 보는 인식·관행이 그 배경으로 지적된다. 

  * ’24년 통계청 사회조사보고에 따르면 개인정보 유출에 관하여 국민 과반수 이상(57.6%) 안전하지 않다고 응답(범죄ㆍ질병 등 11개 분야 중 가장 안전하지 않은 분야로 인식)

 ** 정보기술 투자액 대비 정보보호 부분 투자 비율(‘23.12월 기준) : 한국 6.1%〈 미국 11.6%

  이에, 기업 최고경영자(CEO)의 책임성 강화, 자원 투입 확대 등을 통해 고객정보 보호는 ‘불필요한 비용’이 아닌 ‘전략적 투자, 기본적 책무’라는 인식을 사회 전반에 확립하고, 국민의 신뢰를 받을 수 있도록 노력할 필요가 있다.

  ※ 출처 : 정보보호 공시 현황 분석 보고서(KISA) 및 ’23 Security Bugdet Report(IANS/Artico) 

  ③ 동일한 원인으로 유출사고가 반복되는 기업 등 개인정보 보호에 현저히 소홀한 기업에 대해서는 보다 엄정한 제재를 부과할 수 있는 체계가 부족하고, 과징금은 전액 국고에 귀속되어 실제 피해자의 권리구제를 위해서는 활용할 수 없는 모순적 상황이다.

   또한, 현행법상 개인정보 유출 통지의 대상은 개인정보 유출이 확인된 피해자를 대상으로 하고 있으나, 금번 SKT 고객정보 유출 사고와 같은 경우에는 유출 정보를 활용한 불법거래 차단 등의 선제적 조치 필요성을 고려할 때, 유출 가능성이 있는 모든 사람에게 해당 내용을 신속히 통지하는 등 추가적인 피해 확산을 방지하기 위한 조치가 필요하다.  

  이에, 대규모 개인정보 유출사고 근절을 위한 엄정한 조사ㆍ처분 체계를 강화하고 개인정보 분쟁조정, 손해배상 보장제도 내실화 등 정보주체의 권리구제를 실질화하는 한편, 과징금을 실제 피해자의 피해구제에 활용할 수 있는 방안을 검토할 필요가 있다.

2. 개선방안

  개인정보위는 금번 SKT 고객정보 유출 사고에서 드러난 바*와 같이 국민 생활에 밀접한 대규모 정보시스템 중에서 이미 해킹이 이루어졌거나 악성 프로그램이 설치되어 있을 가능성을 고려하여 유사 사고 예방을 위한 기술적 조치를 우선 추진할 방침이다. 아울러, 최고경영자(CEO)의 책임 명확화 및 인력/예산 투입 기준 등의 상시적ㆍ전사적 내부통제 강화를 위한 방안과 엄정한 조사ㆍ처분 체계와 피해자의 권리구제 실질화 등을 위해 필요한 다양한 과제를 발굴하여 시행할 예정이다. 그 자세한 내용은 아래와 같다. 

  * SKT 유출사고의 경우 ’21.8월부터 해커가 침입하여 악성프로그램 설치가 이루어짐

󰊱 유사사고 예방을 위한 선제적 제도개선

  ① 주요 개인정보처리시스템을 대상으로 외부에 노출된 취약점을 제거하고 이상징후를 탐지*하는 등 공격표면관리**를 강화하고, 주요 정보에 대한 암호화 적용 확대 등 선제적 조치를 정례화한다.

  * 비정상적인 인증 시도(접근 경로, 접근 빈도 등 분석), 개인정보 다운로드 시도 등

 ** 공격표면관리(Attack Surface Management) : 공격자가 노릴 수 있는 취약점ㆍ경로 등을 지속적으로 식별ㆍ분석ㆍ모니터링하여 보안 위협을 축소하는 활동

  ② 또한, 평소 개인정보 보호를 위한 선제적ㆍ적극적 보호조치를 한 기업에 대한 인센티브 제공(과징금 감경 등) 체계 정비를 추진한다.

  ③ 아울러, 이미 유출된 개인정보가 웹ㆍ딥웹ㆍ다크웹 등에서 불법 유통되는지 여부를 탐지하고, 관련 정보 발견시 해당 사업자 및 유관기관에 신속히 공유하여 유출경로 확인 및 차단조치 등 2차 피해 예방을 적극 지원한다.

  ④ 또한, 개인정보 보호 수준을 객관적으로 평가ㆍ인증하는 ‘개인정보보호 관리체계(ISMS-P)’ 인증 제도는 신종 해킹기법을 고려한 현장심사(취약점 점검, 모의해킹 등) 중심으로 인증체계를 고도화하고 사고기업 대상 사후관리를 강화한다. 장기적으로는 핵심 공공시스템ㆍ이동통신서비스 등 대상 단계적 의무화 및 전반적인 인증 품질 향상을 위한 제도 개선도 추진한다.

󰊲 상시적 내부통제 강화

  ① 개인정보 보호 분야의 투자(인력/예산) 확대를 위한 구체적 기준을  제시하고, 관련 기업이나 공공기관에서 이러한 기준을 충족하기 위하여 어느 정도 노력하였는지 여부에 따라 다양한 인센티브* 제공을 검토ㆍ추진한다.

  * (예시) 유출사고 발생시 책임 경감, 공공기관 개인정보 보호 수준 평가시 가점 등

  ※「개인정보 보호법 시행령」제32조제4항에 따른 전문 CPO 지정 의무기관은 매출액 1,500억원 이상인 자로서 100만명 이상의 개인정보를 처리하는 기업 등을 말함

  ② 또한, 기업 최고경영자(CEO)에게 개인정보 보호 관련 위험관리 및 내부통제에 관한 최종적인 책임이 있음을 명확히 하고, 실질적인 관리주체인 개인정보보호책임자(CPO)가 자율성과 책임성을 가지고 여러 부서의 개인정보 처리에 관한 사항을 총괄하여 내부통제 할 수 있도록 지정 신고제 도입, 연 1회 이사회 보고, 직무 여건 보장 등 법적 권한과 역할을 강화한다.

  ③ 아울러, 그동안 공공분야에서 대규모 개인정보처리스템을 신규 구축 또는 변경하는 경우에 의무적으로 적용하고 있는 ‘개인정보 영향평가’를 민간에서도 활성화 될 수 있도록 대상ㆍ방법ㆍ기준 구체화, 평가기관 및 인력의 전문성 제고 등을 통해 자율적 수행 기반을 마련한다.

  * 개인정보 영향평가는 위험요인을 사전 분석하고 개선하기 위한 평가(현재 공공기관 의무 적용)

  ④ 그 밖에도 대규모 수탁사(클라우드 서비스 사업자 등) 또는 솔루션 공급자* 등과 같은 법적 사각지대 관리를 강화하는 한편, ‘개인정보 안심설계 인증제**’ 도입을 통해 중소 사업자 등에게 개인정보 보호 수준이 검증된 제품을 사용토록 권장함으로서 보안역량 제고를 추진한다.

  * 전사적자원관리(ERP) 시스템, 보안솔루션(암호화 등), 웹호스팅 도구, 셀러툴 등

 ** ‘23년부터 PbD(Privacy by Design) 인증제 시범 운영(가정용 IP카메라, 로봇청소기 등)

󰊳 엄정한 처분 및 권리구제 실질화

  ① 같은 방식으로 반복적으로 해킹을 당하는 등 개인정보 유출 사고가 반복되는 기업은 과징금 가중 등 엄정한 제재를 통해 경각심을 가질 수 있도록 하고, 중장기적으로는 징벌적 과징금 등 제재 처분의 실효성 제고를 위한 검토를 추진한다. 또한, 개인정보 유출로 인해 중대한 피해가 예상되는 경우에는 실제 개인정보가 유출된 사람뿐만 아니라 유출 가능성이 있는 모든 사람에 대한 유출 통지를 확대하는 등 추가적 피해 확산을 방지하기 위한 조치를 강화한다.

  ② 또한, 「개인정보 보호법」 위반에 따른 과징금*을 실제 유출사고 피해자 구제에 활용하는 방안 등 피해구제 강화 방안을 검토ㆍ추진한다

 * (과징금 부과금액) ’21년82억원 → ’22년1,018억원 → ’23년232억원 → ’24년611억원

  ③ 그 밖에도 개인정보위는 시장감시 및 권리구제 지원을 위한 ‘개인정보 옴부즈만’을 설치하는 한편, 전문인력 양성** 및 신기술ㆍ신제품의 개인정보 침해 위협 선제대응 등을 통해 정보주체의 권리구제 기반을 강화한다.  

  * 학계, 시민단체, 일반국민 등 15인 이내로 구성ㆍ운영

 ** ISMS-P 인증심사원, 개인정보 영향평가사 등 교육과정 운영, 대학교 석박사 과정 신설 등

  ④ 한편, 일정 규모 이상의 기업에서 개인정보 유출과 같은 예상치 못한 사고에 대비하기 위한 다양한 보험상품 개발 및 개선 유도*를 통해 손해배상 보장제도의 내실화ㆍ유연화 및 자율적 피해구제 확산을 지원한다.

   * 보험 적용범위 조정 및 관리 강화, 보장범위 확대ㆍ차등화, 피해 회복, 이용자 보호 등

3. 향후 계획

   개인정보위는 이번에 발표한  「개인정보 안전관리 체계 강화 방안」이  산업 현장에서 실질적으로 적용될 수 있도록 사업자 설명회 및 의견수렴을 통해 이행 가능한 합리적 기준(인력, 예산, 인센티브 등)을 명확히 설정하고, 이를 법령ㆍ고시에 반영*하거나 관련 예산을 확보하는 등의 후속조치를 차질없이 추진할 예정이다. 

  * 대부분의 법률 개정사항은 ‘25년 연내 개정안 마련하여 ’26년 상반기 국회 제출하고,

    중장기 검토가 필요한 사항은 이해관계자 의견수렴 후 ‘26년까지 개정안 마련 추진

  아울러, 민간의 자율적 참여를 통해 합리적 기준을 설정하였음에도 그러한 기준을 준수하지 못하고 유출 사고가 발생한 경우에는 그 원인과 책임에 따라 엄정하게 제재할 계획이다.

  고학수 개인정보위 위원장은 “이번 사고를 계기로 대규모 개인정보를 처리하는 사업자들이 개인정보 보호를 위한 투자를 ‘불필요한 비용’이 아닌 고객의 신뢰 확보를 위한 ‘기본적 책무’이자 ‘전략적 투자’로 인식하길 바라며, 이를 통해 개인정보 보호에 대한 국민적 신뢰가 확산되기 바란다”라고 말했다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 신기술개인정보과 정종일(02-2100-3066)