[2025국감] 송경희 개인정보위 신임 위원장이 마주한 현안은?
징벌적 과징금만으론 부족… 국회, 개인정보 유출 사전 예방·피해 구제·시정명령 구체화 요구
송경희 개인정보보호위원회(이하 개인정보위) 위원장이 취임 후 처음으로 국정감사에 출석했다. 14일 열린 국회 정무위원회(위원장 윤한홍) 국정감사에서 송 위원장은 개인정보 유출·보호 정책과 관련한 의원들의 질의에 답하며, 앞으로의 개인정보위 운영 방향과 현안 대응 계획을 밝혔다.
송 위원장은 지난 10일 제3대 개인정보위 위원장으로 공식 취임했다. 그는 과학기술정보통신부에서 인공지능(AI)기반정책관과 소프트웨어정책관 등을 역임했다.
송 위원장은 업무보고를 통해 “출범 5주년을 맞은 개인정보위는 국민의 개인정보 보호와 안전한 활용 여건 조성을 위해 노력해왔다”며 “오늘 국회의 지적 사항을 잘 받아들여 대규모 유출 사고 재발 방지를 위한 관리체계 강화 방안을 마련하고, AI 시대에 대응해 가명정보 제도 혁신과 개인정보 전송요구권 확대를 추진해 나가겠다”고 밝혔다. 이어 “사후 제재 중심에서 사전 예방 중심으로 정책을 전환하고 개인정보 보호를 비용이 아닌 전략적 투자로 인식하도록 하겠다”고 강조했다.
이날 국정감사에서는 송 위원장을 상대로 개인정보 보호 정책 전반에 대한 질의가 이어졌다. 여야 의원들은 “최근 연이은 대형 해킹 사고로 개인정보 유출 문제가 더욱 심각해지고 있다”며 “개인정보 보호는 인공지능(AI) 3대 강국으로 나아가기 위해 먼저 해결해야 할 핵심 과제”라고 입을 모았다. 특히 의원들은 “징벌적 과징금 등 처벌만으로는 유출을 막기에 역부족”이라며 보다 실효적인 예방·보상 대책 마련을 주문했다. 질의는 ▲징벌적 과징금 ▲공공기관의 정보 유출과 보안 역량 ▲청소년 대상 생체정보 수집 ▲기업의 유출 신고 지연 문제 등 주요 현안에 집중됐다.
공공기관 개인정보 유출 급증, 보안 전문 인력 부족 심각
가장 먼저 공공기관의 개인정보 관리 부실 문제가 도마에 올랐다. 최근 몇 년 사이 교육·복지·의료 분야에서 반복된 유출 사건의 근본 원인이 ‘형식적인 보안 인력 체계’에 있다는 지적이다.
이양수 국민의힘 의원은 “2021년부터 올해 8월까지 공공부문 개인정보 유출이 679만건에 달했다”며 “민감 정보를 다루는 주요 기관에서 주민등록번호·건강정보 등 고위험 정보가 계속해서 유출되고 있다”고 우려했다.
이정문 더불어민주당 의원이 개인정보위로부터 제출받은 자료에 따르면, 공공기관의 개인정보 유출 규모는 2022년 65만건에서 2023년 352만건으로 늘었고 지난해에는 391만건을 기록했다. 특히 2023년의 경우 경기도교육청에서만 약 297만 건의 개인정보가 유출돼 개인정보위의 제재 대상이 됐다. 이외에도 서울대병원에서 68만건, 경북대학교 70만건, 전북대학교 32만건 등 많은 개인정보가 유출된 것으로 파악됐다.
이양수 의원은 “공공기관의 ‘최고개인정보보호책임자(CPO)’ 중 98%가 형식적으로 지정돼 있고, 전담 인력은 10% 남짓”이라며 “공공기관의 개인정보 보호 역량이 매우 부족해 개선이 시급한 상황”이라고 지적했다.
이에 대해 송 위원장은 “공공기관 개인정보 수준 평가를 매년 실시하고 있으며, 경영평가 지표에 반영되기 시작했다”며 “지적받은 문제를 점검하고 공공기관의 개인정보 보호 수준 공개·공표와 함께 보안 투자, 개인정보 전문가 의무 지정 등 개선책을 마련하겠다”고 답했다.
징벌적 과징금으로 처벌 강화? 기업은 사고 숨기기 바빠
개인정보 유출 기업에 대한 징벌적 과징금 제도는 기업 책임 강화를 위한 장치이지만, 동시에 기업의 사고 은폐를 유도할 수 있다는 우려도 제기됐다.
이헌승 국민의힘 의원은 개인정보 유출 기업에 대한 징벌적 과징금 제도 강화가 자칫 역효과를 낳을 수 있다고 경고했다. 그는 “과징금이 과도해지면 기업이 사고 사실을 숨기려 할 것”이라며 “신속하게 자진 신고하면 감면해 주는 제도를 반드시 도입해야 한다”고 제안했다. 이어 “2024년 해킹 피해 기업 중 80% 이상이 관계기관에 신고하지 않았다”며 “징벌적 과징금만 강화하면 정보공유가 위축될 수 있다”고 지적했다.
실제로 올해 발생한 대규모 개인정보 유출 사고를 보면, 신고 지연 또는 늑장 대응 논란이 자주 제기됐다. SK텔레콤은 고객 유심(USIM) 정보가 유출된 것으로 의심되는 정황을 4월 18일에 인지했으나, 한국인터넷진흥원(KISA)과 개인정보위에 각각 다른 시점으로 신고한 사실이 뒤늦게 알려졌다. KISA에는 18일 밤, 개인보위에는 19일 밤에 신고가 이뤄져 법정 신고 시한(72시간) 내 신고가 이뤄졌는지가 논란이 됐다. KT 역시 8월 무단 소액결제 피해 당시 발생한 국제이동가입자식별번호(IMSI)·단말기식별번호(IMEI) 등 개인정보 유출과 관련해 내부 보고와 관계기관 신고 시점이 수일간 어긋났다는 지적이 나오기도 했다.
이와 관련해 송 위원장은 “신고 지연에 따른 차등 패널티나 감면 방안 등을 함께 검토하겠다”고 답했다.
개인정보 보호 강화 시정명령, 방법 구체화해야
개인정보 유출 사고를 낸 기업에 대한 과징금 처분 이후 내려지는 ‘시정명령’의 실효성 문제도 거론됐다. 현재 개인보위의 시정명령은 “개인정보보호법에 따라 처분하니 준수하라”, “재발 방지 대책을 마련하라”와 같이 다소 추상적인 지시에 머물러 있어 기업 입장에서 어떤 사항을 구체적으로 개선해야 할지 명확히 알기 어렵다는 것이다.
추경호 국민의힘 의원은 “미국 연방통신위원회(FCC)는 정보 유출 기업에 제로트러스트 체계 전환, 최고정보보안책임자(CISO) 지정, 벤더 관리 강화 등 구체적인 조치를 명령한다”며 “우리도 무엇을, 언제까지, 어떻게 하라는 세부 지시가 포함돼야 한다”고 강조했다.
이어 그는 “과징금 부과가 목적이 아니라 제도 개선이 목적이라면 시정명령이 실질적 변화로 이어져야 한다”고 주문했다. 이에 송 위원장은 “사후 제재 중심의 정책을 사전 예방 중심으로 전환하겠다”며 “시정명령의 구체화 방안을 적극 검토하겠다”고 말했다.
‘사이버기본법‘ 제정 시급, 개인정보 유출 책임 입증 기준 마련해야
가장 먼저 제기된 문제는 ‘사후 제재 중심’의 현행 구조였다. 개인정보 유출 사고가 발생하면 과징금과 과태료가 부과되지만, 그 이전 단계에서 해킹 징후를 포착해 개인정보 유출 위협을 사전에 차단할 제도적 장치가 거의 없다는 지적이다.
유영하 국민의힘 의원은 “개인정보 유출 신고의 60% 이상이 해킹에 의한 것”이라며 “현재 개인정보위는 모의해킹을 연 1~3회 수준으로 진행하는데, 이 정도로는 부족하다”고 지적했다.
그는 “우리나라는 일본과 달리 ‘사이버기본법’이 없어 사전 탐지 권한이 부재하다”며 “사후 과징금 부과만으로는 한계가 있다”고 말했다. 또한 피해 발생 시 ‘입증 책임 전환’ 제도 도입을 제안하며 “피해자가 스스로 원인과 책임을 입증하기 어려운 만큼, 개인정보위 등 기관이 이를 입증하도록 해야 한다”고 강조했다.
이에 송 위원장은 “현재 여러 부처에서 논의되고 있는 사이버 안보 협력 논의에 (개인정보위도) 적극적으로 참여해 관련 사항을 살펴보겠다”며 “개인정보 유출 피해 매뉴얼과 보상 절차, 인과관계 입증 문제도 함께 검토하겠다”고 답변했다.
“AI 알바로 홍채 정보 팔아” 청소년 생체정보 보호 사각지대
생체정보 유출 문제도 새로 부각됐다. 김재섭 국민의힘 의원은 홍채 인식을 기반으로 한 암호화폐 ‘월드코인(Worldcoin)’ 사건을 언급하며 “개인정보위가 11억원의 과징금을 부과했지만, 이후 관리 실태 점검이나 후속 조치는 없었다”고 지적했다. 월드코인은 사용자의 홍채를 스캔해 본인 인증을 한 뒤 암호화폐를 지급하는 프로젝트로, 개인정보 해외 이전과 생체정보 관리 부실 문제로 지난 7월 개인정보위로부터 제재를 받은 바 있다.
김 의원은 “최근 SNS에는 AI 체험 알바라며 청소년에게 소액을 지급하고 홍채를 스캔하는 광고가 넘쳐난다”며 “청소년은 개인정보의 위험성을 충분히 인식하지 못한 채 생체정보를 내어주고 있다”고 경고했다.
김 의원은 “스페인과 독일 같은 나라들은 비슷한 사건과 관련해 데이터 전량 삭제 명령을 내렸는데 우리는 과징금 처분 이후 아무 조치가 없었다”며 “청소년 대상 생체정보 수집을 신종 사이버 범죄로 보고 엄격히 단속해야 한다”고 말했다.
이에 대해 송 위원장은 “생체정보는 복구가 불가능한 민감정보인 만큼 청소년 보호 방안을 조속히 마련하겠다”고 밝혔다.
이번 정무위 국정감사에서는 개인정보 보호 체계의 ‘사후 과징금 중심’ 구조를 넘어, 예방·보상·시정명령의 실질화로 전환해야 한다는 데 의견이 모였다. 국회는 향후 송 위원장이 ▲공공기관 개인정보 관리 역량 강화 ▲사전 탐지·예방체계 마련 ▲시정명령 구체화 ▲피해자 구제 절차 정비 ▲청소년 생체정보 보호 대책 등 주요 현안에 대한 대책을 종합적으로 추진하는지 계속 살펴볼 예정이다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
