정부가 대규모 개인정보 유출 사고를 예방하기 위해 매출의 최대 10%까지 징벌적 과징금을 부과하는 제도를 오는 9월부터 시행한다. 최근 개인정보 유출 사고가 잇따르면서 기업 책임을 강화해야 한다는 요구가 커진 데 따른 조치다.
9일 개인정보위원회에 따르면 '개인정보 보호법'에 따라 오는 9월부터 제재 수위가 대폭 강화돼 반복적이거나 중대한 위반행위에 대해서는 과징금을 최대 매출액의 10%까지 부과할 수 있는 특례가 시행된다. 기존에는 과징금을 최대 매출액의 3%까지 부과했다.
구체적으로 △최근 3년간 고의 또는 중대한 과실로 위반행위를 반복한 경우 △고의 또는 중대한 과실로 대규모(1000만명 이상) 피해를 초래한 경우△시정명령 불이행으로 인한 개인정보 유출 등 사고가 발생한 경우 등에서는 제재 수위가 크게 확대된다. 인센티브로는 개인정보 보호 관련 예산·인력·설비·장치 등을 투자·운영한 경우 과징금을 필수 감경(고의·중과실의 경우는 제외)하도록 했다.
경영진의 책임도 무거워진다. 그동안 실무자인 CPO(최고개인정보보호책임자)에게만 한정되던 관리·감독 책임을 CEO(최고경영자)에게도 부과하도록 명문화했다. 또 일정 규모 이상의 개인정보처리자에 대해서는 CPO 지정·변경·해제 시 이사회 의결을 거치고 개인정보보호위원회에 신고하도록 의무화했다. 또 CPO가 개인정보 보호에 필요한 전문 인력 관리, 예산 확보 업무를 수행하도록 하고 대표자와 이사회에 개인정보 보호 관련 사항을 보고하도록 했다.
아울러 신속한 유출 확인을 위해 유출등의 '가능성'이 있음을 알게됐을 때에도 지체없이 통지하도록 바꿨다. 기존에는 랜섬웨어 등으로 인한 개인정보의 위조·변조·훼손의 경우는 통지·신고 대상에 포함되지 않았지만, 앞으로는 개인정보의 분실·도난·유출뿐만 아니라 위조·변조·훼손도 '유출등 사고'의 범위에 포함해 통지·신고 대상이 된다.
기존 공공·민간 분야에서 파급력이 큰 주요 기업·기관에 대해 자율적으로 운영되던 개인정보 보호 인증(ISMS-P 인증)도 앞으로 의무화 된다. ISMS-P 인증은 기업이나 기관이 스스로 구축·운영 중인 정보보호와 개인정보보호 관리체계가 적합한지를 인증하는 제도로, 관련 예산 확보 등에 소요되는 기간을 고려해 내년 7월 1일부터 시행될 예정이다.
개인정보 보호 규제가 대폭 강화되면서 IT(정보기술)업계에서는 기업 부담이 커질 수 있다는 우려가 제기된다. 기업 내외부로 예측하기 어려운 사이버 공격이 늘어나는 상황에서 보안의 책임을 기업에게만 묻는 것은 과도한 처사라는 것이다.
중소·중견 기업에 대한 현실적인 적용 방안이 필요하다는 의견도 나온다. 한 기업 관계자는 "개인정보 보호 강화라는 취지에는 공감하지만 영세 기업의 경우 보안 분야 C레벨이 없거나 다른 직무와 겸직하는 사례도 많다"며 "CEO 책임이 강화되는 만큼 기업 규모와 투자 여력을 고려하는 것도 필요하다"고 말했다.
또 다른 관계자는 "대기업의 경우 과징금 산정 기준이 무엇보다 중요하다"며 "관련 서비스 매출만을 기준으로 할지, 전체 매출을 기준으로 할지 등 세부 기준이 서둘러 나와야 한다"고 말했다. 이어 "유출 여부가 명확하지 않은 상황에서도 가능성 등 정황만으로 이용자에게 안내할 경우 시장에 혼선이 빚어질 수 있다"며 "더욱 정교하게 시행령이 마련돼야 할 것으로 보인다"고 말했다.