"같은 사고 또 나면 징벌적 과징금"…개인정보위, 제재 수위 높인다

▲고학수 개인정보보호위원회 위원장이 7월 23일 오후 서울 종로구 정부서울청사에서 개최된 2025년 제16회 개인정보보호위원회 전체회의에서 모두말씀을 하고 있다. (사진제공=개인정보보호위원회)

개인정보보호위원회가 SK텔레콤 고객정보 유출 사고를 계기로 대규모 개인정보 유출 사고를 예방하기 위한 '개인정보 안전관리 체계 강화 방안'을 마련해 추진한다고 11일 밝혔다. 그간 사후 제재와 땜질식 규제에 의존했던 대응 방식을 벗어나 기업이 선제적·적극적으로 개인정보 보호에 투자하도록 유인하는 방향으로 정책 기조를 전환한다는 구상이다. 이와 함께 같은 방식의 사고가 반복되는 기업에는 과징금을 가중 부과하고 중장기적으로 징벌적 과징금 도입도 검토할 방침이다.

이번 개선방안의 핵심 △사고예방·선제적 제도개선 △상시적 내부통제 강화 △엄정 처분·권리구제 실질화 등 3대 축으로 구성됐다.

개인정보위는주요 개인정보처리시스템을 대상으로 외부에 노출된 취약점을 제거하고 이상징후를 탐지 하는 등 공격표면관리를 강화하고 주요 정보에 대한 암호화 적용 확대 등 선제적 조치를 정례화한다. 또한 평소 개인정보 보호를 위한 선제적ㆍ적극적 보호조치를 한 기업에 대한 인센티브 제공(과징금 감경 등) 체계 정비를 추진한다. 아울러, 이미 유출된 개인정보가 웹ㆍ딥웹ㆍ다크웹 등에서 불법 유통되는지 여부를 탐지하고 관련 정보 발견시 해당 사업자 및 유관기관에 신속히 공유해 유출경로 확인 및 차단조치 등 2차 피해 예방을 적극 지원한다.

또한 개인정보 보호 수준을 객관적으로 평가ㆍ인증하는 ‘개인정보보호 관리체계(ISMS-P)’ 인증 제도는 신종 해킹기법을 고려한 현장심사 중심으로 인증체계를 고도화하고 사고기업 대상 사후관리를 강화한다. 장기적으로는 핵심 공공시스템ㆍ이동통신서비스 등 대상 단계적 의무화 및 전반적인 인증 품질 향상을 위한 제도 개선도 추진한다.

기업 내부통제 강화도 포함됐다. 기업 최고경영자(CEO)에게 개인정보 보호 관련 위험관리 및 내 부통제에 관한 최종적인 책임이 있음을 명확히 하고 실질적인 관리주체인 개인정보보호책임자(CPO)가 자율성과 책임성을 가지고 여러 부서의 개인정보 처리에 관한 사항을 총괄하여 내부통제 할 수 있도록 지정 신고제 도입, 연 1회 이사회 보고, 직무 여건 보장 등 법적 권한과 역할을 강화한다.

제재와 피해자 구제도 강화된다. 동일 원인으로 유출 사고가 반복되는 기업에는 과징금 가중, 중장기적으로는 징벌적 과징금 도입도 검토한다. 개인정보 유출 가능성이 있는 모든 사람에게 통지를 확대하고, 과징금을 피해자 구제에 직접 활용하는 방안도 추진한다. 이와 함께 ‘개인정보 옴부즈만’ 제도를 신설하고 보험상품 개발을 통해 손해배상 제도의 내실화를 지원한다.

개인정보위는 사업자 설명회와 의견 수렴을 거쳐 합리적 인력·예산·인센티브 기준을 마련하고 2025년 중 개정안을 확정해 2026년 상반기 국회에 제출할 계획이다.

고학수 개인정보위 위원장은 “이번 사고를 계기로 대규모 개인정보를 처리 하는 사업자들이 개인정보 보호를 위한 투자를 ‘불필요한 비용’이 아닌 고객의 신뢰 확보를 위한 ‘기본적 책무’이자 ‘전략적 투자’로 인식하길 바라며, 이를 통해 개인정보 보호에 대한 국민적 신뢰가 확산되기 바란다”라고 말했다.