개인정보위, 중대·반복 위반 과징금 최대 10%…사전 예방 체계 전환
개인정보 보호체계가 사고 이후 처벌 중심에서 사고 전 위험을 관리하는 예방 중심 체계로 바뀐다. 중대·반복 위반 사업자에는 매출액의 최대 10%까지 과징금을 부과하고, 대규모 개인정보를 처리하는 약 1700개 고위험 시스템은 정부가 직접 정기 점검한다.
개인정보보호위원회(이하 개인정보위)는 12일 대통령 주재 국무회의에서 이런 내용을 담은 ‘예방 중심 개인정보 관리체계 전환 계획’을 보고했다고 밝혔다.
이번 계획은 인공지능(AI)과 디지털 전환 확산으로 개인정보 활용 범위가 넓어지고, 유출사고 규모도 커지는 상황에 대응하기 위해 마련됐다. 개인정보위는 사고가 난 뒤 제재하는 방식만으로는 피해 회복에 한계가 있다고 보고, 기업과 기관이 개인정보 보호에 먼저 투자하도록 제도 구조를 바꾸기로 했다.
개인정보위는 선제적인 보호조치를 한 기업과 기관에는 과징금 감경 등 인센티브를 부여한다. 반대로 고의·중과실이 있거나 3년 안에 위반이 반복된 경우, 1000만명 이상 피해가 발생한 경우에는 징벌적 과징금을 적용할 계획이다.
중대·반복 위반 과징금 최대 10%
개인정보위는 중대하거나 반복적인 개인정보보호법 위반 행위에 대해 매출액의 최대 10%까지 과징금을 부과하는 방안을 추진한다. 현재 과징금 상한은 전체 매출액의 3%다.
징벌적 과징금은 고의나 중과실이 있고, 3년 안에 위반이 반복됐으며, 피해 규모가 1000만명 이상인 경우를 요건으로 한다. 개인정보위는 재발 경위, 고의성, 국민 피해 규모, 2차 피해 가능성도 함께 살핀다.
과징금 산정 기준도 강화한다. 현재는 3년 평균 매출액을 기준으로 삼지만, 앞으로는 직전 연도 매출액과 3년 평균 매출액 가운데 높은 금액을 적용한다. 이 기준은 시행령 개정을 거쳐 오는 19일 시행될 예정이다.
조사 강제력도 높인다. 현재 조사 비협조에는 3000만원 이하 과태료를 부과할 수 있다. 개인정보위는 여기에 이행강제금과 증거보전명령을 도입하는 방안을 추진한다. 증거 은닉이나 폐기 행위에 대한 제재도 강화하고, 신고포상금 제도도 마련할 계획이다.
다만 영세기업과 소상공인의 경미한 위반에는 개선 기회를 준다. 같은 위반이 반복되면 엄정하게 제재한다.
보호 투자 기업에는 인센티브
개인정보위는 기업이 법정 기준만 맞추는 수준을 넘어 실질적인 보호 수준을 높이도록 인센티브 체계를 개편한다.
평가 대상은 법정 기준을 넘는 선제적 안전조치, 적극적인 보안 투자, 실효적인 안전관리체계 운영이다. 개인정보 보호 전담 조직과 인력 운영, 개인정보 영향평가, 상시 위험관리, 신속 복구 역량도 살핀다.
암호화, 추가 인증, 취약점 신고·공개 제도(CVD·VDP) 같은 추가 보호조치도 고려 대상이다. 취약점 신고·공개 제도는 외부 연구자나 이용자가 취약점을 발견했을 때 기업에 알리고, 기업이 이를 확인해 고치는 절차를 뜻한다.
개인정보위는 오는 9월 시행되는 경영진의 개인정보 보호 책임 강화 조치와 연계해 기업의 개인정보 보호활동 공개도 유도한다. 기업 스스로 보호 역량을 높이고, 이용자가 기업의 개인정보 관리 수준을 확인할 수 있도록 하겠다는 취지다.
공공시스템 387개 직접 관리
개인정보위는 위험 수준에 따라 점검 강도를 달리하는 위험기반 관리체계를 구축한다.
주요 공공시스템 387개와 교육·복지 등 고위험 분야는 개인정보위가 직접 집중 관리한다. 100만명 이상 개인정보를 처리하는 공공기관과 기업 약 1700개, 클라우드 사업자, 시스템 공급사도 정기·수시 점검 대상에 포함한다.
점검 범위는 공급망으로 넓어진다. 개인정보 처리 업무를 맡는 전문수탁사, 시스템 공급사, 클라우드 사업자까지 살핀다. 개인정보 처리 환경이 복잡해지면서 실제 서비스 운영 기업만 점검해서는 위험을 줄이기 어렵다는 판단이다.
개인정보위는 현재 상조회사와 고객상담센터 등을 점검하고 있다. 올해부터 결혼정보업체, 초·중·고 에듀테크 분야도 추가 점검할 계획이다.
설계 단계부터 개인정보 보호 반영
개인정보위는 개인정보 중심 설계(PbD) 원칙도 제도화한다. 개인정보 중심 설계는 제품이나 서비스를 기획하고 만들고 폐기하는 전 과정에서 개인정보 보호 요소를 미리 반영하는 방식이다.
서비스 출시 이후에는 개인정보 침해를 뒤늦게 확인하거나 막기 어렵다. 개인정보위는 이런 문제를 줄이기 위해 기획·설계 단계부터 개인정보 보호를 반영하도록 할 계획이다.
정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 기준도 바뀐다. 개인정보위는 간편·표준·강화 등 인증 기준을 세분화하고, 상시점검을 통해 인증 실효성을 높인다. 공공·민간 주요 처리자에게 인증을 의무화하는 방안도 추진한다. 고시 개정은 올해 하반기, 의무화는 2027년 7월부터 추진된다.
개인정보 영향평가도 개인정보 중심 설계 원칙과 연계해 기준과 방법을 개선한다. 민간 분야로 확대하는 방안과 대규모 국외이전 영향평가 제도 신설도 검토한다.
공공 개인정보 보호 인력 확충
개인정보위는 공공부문의 개인정보 보호 인력과 예산 부족도 개선 과제로 제시했다.
지난 3월 공공시스템 긴급 점검 결과, 개인정보 보호 전담인력은 중앙부처가 평균 1.1명, 기초지방정부가 평균 0.3명 수준으로 나타났다. 개인정보위는 관계부처와 협력해 전담 인력과 예산을 확충하고, 전담인력 처우 개선도 추진한다.
민간 분야에서는 개인정보보호책임자(CPO)의 전문성을 높인다. 100만명 이상 개인정보를 처리하고 매출액이 1800억원 이상인 기업은 일정 자격과 경력을 갖춘 CPO를 지정해야 한다. 대상은 약 700개 기업이다.
개인정보위는 개인정보보호책임자 협의회와 협업해 위협 조기경보 연락체계도 운영할 계획이다.
전문인력 양성도 확대한다. 대학원 과정을 권역별로 넓히고, 정책 담당자, 개발자, 사고 대응 조직 등 직무별 실무 교육 프로그램을 새로 설계한다.
유출 피해 입증책임 기업에 부과
개인정보 유출 피해구제 제도도 손본다. 개인정보위는 유출사고가 발생했을 때 기업과 기관의 손해배상 책임을 원칙으로 하고, 전반적인 입증책임을 기업과 기관이 지도록 하는 방안을 추진한다.
이를 통해 법정 손해배상 제도를 활성화한다. 현행 법정 손해배상 한도는 최대 300만원이다. 관련 법안은 지난 2월 발의됐다.
다크패턴 점검도 강화한다. 다크패턴은 이용자를 속이거나 오해하게 만들어 개인정보 수정, 동의 철회, 회원 탈퇴를 어렵게 하는 행태를 뜻한다. 개인정보위는 이런 행위를 집중 점검하고 개선을 요구할 계획이다.
개인정보 침해신고센터 기능도 확대한다. 기존 법 안내 중심 상담에서 전문 법률상담, 피해회복 조력, 컨설팅까지 포함하는 종합 지원체계로 단계적으로 바꾼다.
민감정보 유출 대응도 강화한다. 개인정보위는 사회관계망서비스(SNS)와 다크웹에서 불법 유통 여부를 모니터링하고, 수사기관과 협력해 개인정보 불법 유포자와 이용자를 추적·처벌할 방침이다.
송경희 개인정보위 위원장은 “개인정보도 한 번 유출되면 피해를 온전히 되돌리기 어렵고 회복에도 긴 시간이 걸린다”며 “사후 책임에 더해 사전예방이 잘 작동할 수 있는 체계를 구축해 국민의 정보를 보다 안전하게 지키고 국민이 신뢰할 수 있는 개인정보 활용 환경을 만들어가겠다”고 말했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network


