지난해 4월20일 SK텔레콤이 한국인터넷진흥원(KISA)에 개인정보 침해사고를 신고한 지 1년이 지났다. 이후 통신·금융·유통 등 산업 전반에서 대규모 개인정보 유출 사고가 잇따르며 국내 정보보호 체계 민낯이 드러났다. 동시에 징벌적 과징금 도입, ISMS-P(정보보호 및 개인정보보호 관리체계) 실효성 제고 등 보안 분야 체질을 개선하는 변곡점이 되기도 했다.
20일 개인정보보호위원회에 따르면 오는 9월부터 개인정보보호법 개정안이 본격 시행된다. 개정안의 핵심은 유출 사고 재발 시 부과되는 과징금을 기존 전체 매출액의 3%에서 최대 10%까지 상향 조정한 것이다.
앞서 개인정보위는 SKT에 역대 최대 규모 과징금 1347억원을 부과했다. 전체 이동통신서비스 매출액에서 3%를 적용한 후 자체 개인정보보호 및 이용자 피해회복 노력을 반영해 일부 감경한 수치다. 향후 개정안이 적용되면 이를 훨씬 상회하는 천문학적 과징금도 현실화할 수 있다. 법무법인 세종은 관련 보고서에서 "(10% 과징금은) 기업의 존립을 위협할 수 있는 재무적 리스크"라며 "유출 사고가 발생해도 '고의·중과실'에 해당하지 않는 점을 소명할 수 있도록 개인정보 보안체계를 강화해야 한다"고 조언했다.
또 개인정보 유출 가능성만 있어도 이용자에게 고지하도록 하고, 개인정보 처리·보호 최종 책임자로서 CEO(최고경영자)의 관리·감독 의무를 명시했다. 일정 규모 이상 개인정보처리자는 이사회에서 CPO(개인정보보호책임자) 지정을 의결해 개인정보위에 신고해야 한다.
2027년 7월부터는 공공 및 민간 분야의 주요 기업에 대해 ISMS-P 인증이 의무화된다. 획일적인 인증체계에서 벗어나 △강화 △표준 △간편 인증 3단계로 재편하고, 국민 생활에 파급력이 큰 기업엔 강화된 심사기준을 적용한다. 특히 기존 서류 중심의 '스냅숏'(Snapshot) 심사 관행에서 벗어나 현장 점검 및 상시 점검 체계로 전환한다. 심사 기간에만 반짝 대비하는 편법을 차단하겠다는 것이다.
오는 10월 시행되는 정보통신망법 개정안 역시 고의·중과실로 5년 내 2회 이상 사고 발생 시 매출액 3% 이내의 과징금 조항을 신설했다. 기업이 침해사고를 미신고·지연 신고할 경우 과태료도 기존 3000만원에서 5000만원으로 상향했다. 정부가 침해사고 정황을 확보하면 기업이 신고하지 않아도 현장 조사할 수 있는 법적 근거도 마련했다.
해킹 사고로 창사 이래 최대 위기를 겪은 SKT는 지난 1년간 강도 높은 쇄신책을 쏟아내며 신뢰 회복에 주력했다. 업계에선 △대규모 유심 교체 및 유심보호서비스·비정상인증차단시스템(FDS) △디지털 취약계층 대상 찾아가는 서비스 △요금 할인·무료 데이터 등 고객 보상안 마련으로 SKT가 해킹 사고 수습 바이블을 정립했다는 평가도 나온다.
특히 SKT는 보안 투자 소홀이라는 지적을 수용하며 재발방지책도 마련했다. 향후 5년간 보안 분야에 총 7000억원을 투자하고 정보보호 전문 인력을 기존 대비 2배로 확대한다. 정보보호책임자(CISO) 조직을 격상하고 사내 실전형 보안 거버넌스를 구축했다. 사고 예방부터 대응·복구에 이르는 전 과정을 구체화해 실질적인 보안 대응 역량을 높인 것이다.
업계 관계자는 "지난 1년간 뼈아픈 사고가 반복됐지만, 역설적으로 대한민국 보안 생태계의 기초체력을 키우는 전환점이 됐다"라며 "보안이 '비용'이 아닌 지속가능성을 결정짓는 핵심 가치로 자리잡았다"고 말했다.