[더테크 서명수 기자]  개인정보보호위원회가 지난 4월 18일 발생한 SK텔레콤 및 통신사들의 고객정보 유출 사고를 계기로 '개인정보 안전관리 체계 강화 방안'을 마련하고 추진한다.

이번 방안은 SKT 사고에서 드러난 제도적·기술적 미비점을 보완하고, 기존 사후 조치 중심 체계에서 벗어나 기업이 선제적·적극적 안전조치를 취할 수 있는 인센티브 중심 체계를 구축하는 데 초점을 맞췄다.

현행 규제는 최소한 법적 의무 중심으로 운영되어, 기업이 추가적 보호조치를 취할 유인이 부족하다. 신종 해킹기법 등장에도 사고 발생 시 규제 추가 중심의 기존 방식으로는 예방적 대응이 어렵다.

국민의 개인정보 보호 감수성이 높은 반면, 기업의 인적·물적 투자 규모는 세계적 수준에 비해 낮다. 많은 기업이 개인정보 보호를 ‘비용’으로 인식하는 만큼, CEO 책임 강화와 전략적 투자가 필요하다. 반복 유출 사고 기업에 대한 제재가 충분하지 않고, 과징금은 피해자 구제에 활용되지 못하는 구조적 한계도 존재한다. 유출 가능성이 있는 국민 전체에 대한 신속 통지 필요성도 제기됐다.

개인정보위는 이번 방안에서 기술적 선제 조치, CEO 책임 강화, 내부통제 강화, 피해자 권리구제 실질화를 핵심 추진 과제로 설정했다. 주요 시스템 취약점 제거, 이상징후 탐지 등 공격표면 관리 강화, 개인정보 암호화 확대, 유출 여부 실시간 모니터링, 웹·딥웹·다크웹 불법 유통 정보 탐지 및 차단 지원 등이 포함된다.

또한, 선제적 보호조치를 한 기업에 과징금 감경 등 인센티브 제공, 최고경영자(CEO) 책임 명확화, 개인정보보호책임자(CPO) 권한 강화 방안도 마련됐다.

인력·예산 투자 기준 설정 및 이행 여부에 따른 인센티브 제공, 민간기업 대상 개인정보 영향평가 활성화, 대규모 수탁사 및 솔루션 공급자 관리 강화, 안심설계 인증제 도입 등도 추진된다. 반복 유출 사고 기업에는 과징금 가중, 필요 시 징벌적 과징금 검토가 시행된다.

유출 가능성이 있는 모든 국민 대상 통지 확대, 과징금 피해자 구제 활용 방안 검토, ‘개인정보 옴부즈만’ 설치, 전문인력 양성, 신기술 선제 대응 등도 계획됐다. 기업 대상 다양한 보험상품 개발·개선 유도를 통해 자율적 피해구제 확산과 손해배상 보장제도 내실화도 지원된다.

개인정보위는 이번 방안을 현장 적용 가능 기준으로 구체화하고, 사업자 설명회와 의견수렴을 통해 법령·고시에 반영할 예정이다. 법률 개정은 올해 연내 개정안 마련 후 2026년 상반기 국회 제출 계획이며, 미준수 기업은 사고 발생 시 원인·책임에 따라 엄정 제재한다.

고학수 개인정보위 위원장은 “이번 사고를 계기로 사업자들이 개인정보 보호를 고객 신뢰 확보를 위한 기본적 책무이자 전략적 투자로 인식하길 바란다”며, “이를 통해 국민 신뢰가 확산되기를 기대한다”고 말했다.