반복 위반·고의·중과실 위반도 인증 취소돼
개보위 “인증 기준 미달 기업 엄격히 관리”
개인정보보호위원회는 과학기술정보통신부와 함께 29일 ‘정보보호 및 개인정보보호 관리체계 인증 취소 관계기관 대책회의’를 열고 이같이 밝혔다.
이번 대책회의는 12월 6일 개최된 ‘정보보호 및 개인정보보호 관리체계 인증제 개선 관계기관 대책회의’의 후속 조치다. 최근 개인정보보호통합인증 기업의 사이버 침해와 유출 사고 빈발로 사후 관리의 엄격성을 높여야 한다는 목소리를 반영한 것이다. 관계기관들은 이번 회의를 통해 그간 논의해 온 인증 취소 기준 구체화 방안을 최종 심의·확정하고 즉각 시행할 계획이라고 밝혔다.
우선 정부는 외부 인터넷 접점 자산 식별, 접근 권한 관리, 보안 패치 관리 등 실제 사고와 밀접한 핵심 항목을 인증기업이 연 1회 진행하는 사후 심사에서 집중 점검할 방침이다. 사후 관리 점검을 미이행하거나 거부할 경우, 자료를 미제출·허위 제출할 경우, 또는 중대 결함이 발견될 경우 인증위원회 심의를 거쳐 인증을 취소한다.
또 인증기업이 개인정보보호법 위반으로 과징금 등 처분을 받은 경우 위반 행위의 중대성에 따라 인증을 취소한다. 특히 피해 규모가 1000만 명 이상이거나 반복 위반, 고의·중과실 위반 행위로 사회적 영향이 큰 경우 원칙적으로 인증을 취소한다는 방침이다. 정보통신망법 역시 중대한 위반 시 인증 취소가 가능하도록 법 개정을 추진하고 있다.
인증 취소 이후 관리 방안도 마련한다. 법상 의무 대상 기업은 취소 후 1년간 재신청 유예기간을 둬 실질적인 보안 개선이 이뤄지도록 유도한다. 이 기간에는 인증 의무 미이행에 따른 과태료를 면제해 기업의 불필요한 부담을 방지한다. 비의무 대상 기업의 경우에도 재취득을 권고해 관리 체계를 유지하도록 한다.
개인정보위 관계자는 “이번 회의는 올해 10월 범부처 정보보호 종합대책부터 이어 온 관계기관의 제도 개선 의지를 결집하는 자리”라며 “앞으로도 지속적 협력을 통해 인증 기준에 미달하거나 중대한 위반이 있는 기업은 인증을 유지할 수 없도록 엄격히 관리해 인증 제도의 신뢰성을 회복해 나가겠다”고 말했다.
![일본 이어 대만까지…'대지진 공포' 여행 비상 [해시태그]](https://img.etoday.co.kr/crop/140/88/2274562.jpg)
![RIA 稅혜택 늘리자… '서학개미' 셈법 복잡[서학개미 되돌릴까]①](https://img.etoday.co.kr/crop/140/88/2274018.jpg)
![삼성전자와 소름 돋게 똑같은 상황! 2026년 증시 탑픽 '이 주식' ㅣ 이영훈 iM증권 이사 ㅣ 염승환 LS증권 이사 [찐코노미]](https://i.ytimg.com/vi/iOJFEN8RxHs/mqdefault.jpg)
![일본 이어 대만까지…'대지진 공포' 여행 비상 [해시태그]](https://img.etoday.co.kr/crop/300/170/2274562.jpg)
![오세훈 서울시장 ‘전역사 1역사 1동선 확보 기념행사’ [포토]](https://img.etoday.co.kr/crop/300/190/2274534.jpg)