개인정보보호위원회, “개인정보 안전관리 체계 강화 방안” 발표


법무법인 대륙아주 김정은 변호사¹
법무법인 대륙아주 나희수 변호사



1. 들어가며

  최근 여러 기업에서 대량의 고객 정보가 유출되는 개인정보 유출 사고가 거듭 발생하면서 국민 경제·사회 활동 전반에 심각한 파급효과를 발생시키고 있습니다. 이를 계기로 개인정보 보호의 중요성에 대한 사회적 경각심이 한층 고조되었으며, 개인정보처리자의 개인정보 안전관리 체계에 대한 전면적인 재점검이 요구되었습니다.

  이에 개인정보보호위원회(이하 ‘위원회’)는 이러한 대규모 개인정보 유출 사고가 재발하지 않도록 제도적·기술적 미비점, 사회적 인식·관행 등을 총체적으로 검토하여 개인정보 안전관리 체계에 관한 종합 대책인 ‘개인정보 안전관리 체계 강화 방안’을 발표하였습니다(이하 ‘본 방안’).



2. 구체적인 개인정보 안전관리 체계 강화 방안

  본 방안은 개인정보 안전관리 체계 강화를 위해 (1) 유사사고 예방을 위한 선제적 제도 개선, (2) 상시적 내부통제 강화, (3) 엄정한 처분 및 권리구제의 실질화라는 세 가지 분야로 나누어 구체적인 추진 과제를 제시하고 있습니다. 위원회는 2026년 하반기까지 관련 법률 개정안 발의, 시행령 및 고시 정비, 예산 확보 등 필요한 조치를 거쳐 각 과제를 단계적·순차적으로 제도화할 예정입니다.


가. 유사사고 예방을 위한 선제적 제도 개선

위원회는 사업자들이 선제적, 적극적 조치를 취할 수 있도록 인센티브를 제공하고, 다크웹 등 불법 유통정보 탐지·대응을 통한 2차 피해 예방 체계를 구축하며, ISMS-P 인증체계를 단계적으로 의무화하는 방안을 도입할 예정입니다.
 

• 주요 개인정보처리시스템에 대한 공격표면관리 강화
  - 주요 개인정보처리시스템에 대해 연 1회 이상 모의해킹 및 정보통신망 관리 시스템 등에 대한 취약점 점검을 의무화
  - 대규모 개인정보처리시스템을 중심으로 불법적 접근 등을 자동화된 방식으로 분석하는 이상징후 탐지 활동 강화 
   
• 암호화 확대 등 선제적 조치 강화
  - 비밀번호, 주민등록번호 등 법정 의무 암호화 대상 외에도 전화번호, 상세주소 등 주요 식별정보에 대한 추가 암호화를 적용하는 경우 해당 정보 유출시 책임 경감
  - 이상징후 탐지·차단시스템(FDS)도입, 암호화 솔루션 설치 등의 자발적·선제적 안전조치에 대한 인센티브 제공 강화
   
• 다크웹 등 유통 정보 분석을 통한 2차 피해 예방 강화
  - 다크웹 등에 불법 유통되는 개인정보를 탐지시 해당 사업자 및 정보주체 등과 신속 공유하고 2차 피해 예방 지원
  - 개인정보 불법유통자에 대한 개인정보보호법상 처벌 근거 마련 추진
   
• ISMS-P 인증 체계 고도화 및 단계적 의무화
  - 취약점 점검, 모의해킹 등 예비·현장심사 도입 등 심사 강화 및 사고기업 사후관리 강화
  - 공공·민간부문 중요 개인정보처리자의 지속적 개인정보 보호 체계 구축을 위해 ISMS-P 인증의 단계적 의무화 추진

나. 상시적 내부통제 강화

  위원회는 개인정보 보호 관련 인력과 예산의 구체적 기준을 마련하고 CEO/CPO 중심의 내부통제를 강화하는 한편, 민간부문 개인정보 영향평가를 활성화하고, 대규모 수탁자, 솔루션 제공자에 대한 관리·감독을 강화하는 방안을 추진하고자 합니다.
 

• 개인정보보호 분야 투자(인력, 예산) 최소기준 명확화
  - 전문 CPO를 지정해야 하는 대규모 처리자는 CPO를 제외한 기관별 1명 이상의 개인정보 전담인력 배치 및 전담조직 구성·운영 명문화
  - 개인정보처리자가 전체 정보화 예산의 10% 이상을 개인정보 보호 예산(정보보호 예산 포함)으로 확보·운영한 경우 사고 발생시 책임 경감, 공공기관 보호수준 평가 반영 등 인센티브 제공
   
• CEO/CPO 중심의 내부통제 강화
  - CEO에게 개인정보보호 관련 위험관리 및 내부통제에 관한 최종책임자로서 의무 명문화
  - 전문 CPO 지정 의무기관은 CPO 지정 시 개인정보위원회 신고를 의무화하여 지정요건 충족 여부 확인 및 점검, 임면 시 이사회 의결을 거치도록 절차 마련
   
• 개인정보 영향평가 민간 활성화 및 전문성 강화
  - 민간 부문 영향평가 대상·방법·기준 구체화, 사고발생시 책임 경감 적용 절차 명확화 등 자율적 영향평가 수행기반 마련
  - 평가기관 심사강화(품질검토 결과 재지정 시 반영 등), 신규기관 유입 확대를 위한 평가기관·인력의 전문성 제고
  - 공공·민간의 CPO가 평가 결과 최종책임자로 서명하고 경영진에 보고하도록 권한·책임 강화
   
• 대규모 수탁자, 솔루션 제공자에 대한 관리·감독 효율화
  - 현행법의 개선권고(개인정보 보호법 제61조 제2항) 대상을 ‘개인정보처리자’ 외에도 관련 ‘수탁자’와 ‘제조사 및 개발·공급자’까지 확대하는 등 개인정보 보호 역량이 취약한 중소 사업자들이 이용하는 대규모 수탁자 및 솔루션 제공자에 대한 관리 강화
  - PbD 인증제를 활용하여 솔루션(H/W, S/W 포함)에서 처리되는 개인정보 흐름이 전반이 일정한 보호 수준을 갖추었는지 인증하는 체계 법제화
  - 대규모 수탁자가 전문기관의 주기적 점검체계 결과를 다수 위탁자에게 보고 시 관리·감독 의무 이행으로 인정
  
   

  위원회는 개인정보 유출사고 등에 관한 신속한 조사체계 확립, 분쟁조정 제도 개선 등 피해자의 권리구제 기반을 강화하기 위한 과제를 추진할 예정입니다.
 

• 신속하고 엄정한 조사·처분 체계 확립
  - 사고를 반복하는 기업에 대한 과징금을 가중하고, 징벌적 과징금 등 제재처분의 실효성 제고를 위한 정책연구 실시
  - 디지털 증거를 확보하는 포렌식랩 구축으로 신속 조사체계 마련
  - 유출가능성이 있는 자에 대한 유출 통지 등 피해 확산 방지 조치 강화
   
• 유출 사고 등에 따른 피해구제 실질화
  - 과징금 일부를 ‘개인정보 피해구제기금’으로 전환하여 실제 피해자 보상에 활용하는 등 개인정보 침해 피해구제 강화방안 검토
  -  분쟁조정 신속 개시 및 사업자의 자발적 대책 마련 요구 등 적극 조정을 통해 개인정보 분쟁조정 실질화
   
• 시장감시, 권리구제 지원 등을 위한 개인정보 옴부즈만 설치
  - 시민사회·학계·일반국민이 참여하는 ‘개인정보 옴부즈만’을 마련하여, 시민사회가 적극적인 시장 감시 및 제도개선 권고 등 정책의견을 표명할 수 있는 기반 조성
   
• 전문인력 양성, 침해요인 선제 대응 등을 통한 권리구제 기반 강화
  - ISMS-P 심사원, 개인정보 영향평가사 등 개인정보 보호 분야 온라인 교육과정 운영, 대학교 석박사 과정 신설 등을 통해 국가직무능력표준(NCS)에 기반한 전문인력 양성 체계 확립 
  - 신기술의 개인정보 침해 위협을 분석하는 등 새로운 개인정보 침해 위협에 선제적으로 대응하고 신속·정확한 조사 등을 위한 기술 분석 환경 구축
  - 다양한 보험상품 개발 및 개선 유도 등 손해배상 보장제도의 내실화·유연화를 통한 자율적 피해구제 확산 지원

3. 시사점

  이번 ‘개인정보 안전관리 체계 강화 방안’은 기존 방안에 대한 보완 수준을 넘어, 개인정보 보호 안전관리 체계를 근본적으로 재설계하는 종합대책이라는 점에서 의미가 큽니다.

  위원회는 과징금 및 행정처분 강화와 같은 사후제재 수단을 유지하면서도, 사업자가 자율적으로 개인정보 보호 역량을 강화할 경우 책임을 경감하는 인센티브 제도를 도입하고자 합니다. 이에 따라 기업들은 단순히 법정 의무를 준수하는 데 그치지 않고, 법적 리스크 완화를 위하여 선제적으로 암호화 범위의 확대, 이상징후 탐지·차단 시스템(FDS) 구축, 암호화 솔루션 설치, 개인정보 보호 예산 확대 등 적극적인 조치를 고려할 필요가 있습니다.

  이번 방안은 순차적·단계적으로 제도화될 예정이므로, 개정 법률·시행령, 고시 등 시행 시점마다 구체적 의무 수준이 점진적으로 상향될 것으로 생각됩니다. 특히 ISMS-P 인증 의무화 확대, 개인정보 전담인력 및 전담조직 명문화, 과징금 상향 및 징벌적 과징금제 도입 여부 등은 기업 경영환경과 법적 리스크 관리 체계에 직접적인 영향을 미칠 수 있을 것으로 보입니다.

  따라서 사업자들은 향후 법령 제·개정 및 위원회의 후속조치를 면밀히 주시하면서 이에 부합하는 개인정보 보호 체계를 선제적으로 마련할 필요가 있습니다.

1. 현재 법무법인(유한) 대륙아주의 파트너변호사로서, 주요 업무분야는 지적재산, 정보보안, TMT (Technology, Media & Telecom), 엔터테인먼트, 바이오/헬스케어 등입니다. 지적재산권, 영업비밀, 부정경쟁행위, 개인정보보호 관련 민·형사 소송 및 자문 등의 업무를 주로 담당하고 있으며, 개인정보보호위원회 개인정보보호 기본계획(2024-2026) 수립 연구반으로 활동하였습니다.