article_right_top
개인정보 유출 사고에 대한 제재 수위를 대폭 높이고 기업·기관의 관리 책임을 강화하는 내용의 개정 법률이 시행 절차에 들어갔다. 반복적인 대규모 유출 사고로 사회적 불안이 커진 상황에서 개인정보 보호 체계를 전면적으로 강화하려는 조치다.
개인정보 보호법 개정안이 3월 10일 공포되며, 관련 제도는 올해 9월부터 단계적으로 시행될 예정이다. 법안은 지난해 말 국회 논의를 거쳐 올해 2월 국회 본회의에서 의결된 뒤, 최근 국무회의 심의를 통해 최종 확정됐다. 개정 법률의 핵심은 기업·기관의 개인정보 관리 책임을 크게 강화하고 위반 행위에 대한 제재를 대폭 높인 데 있다. 특히 반복적이거나 중대한 위반이 확인될 경우 전체 매출액의 최대 10%까지 과징금을 부과할 수 있는 징벌적 제재 규정이 새로 도입됐다. 기존에는 매출액의 3% 이하 범위에서 과징금이 부과됐지만, 대규모 유출 사고를 억제하기에는 한계가 있다는 지적이 제기돼 왔다.
다만 기업이 개인정보 보호를 위해 예산과 인력, 보안 설비 등에 선제적으로 투자한 경우에는 과징금을 감경할 수 있도록 해 사전 예방적 투자를 유도하는 장치도 함께 마련됐다. 사고 대응 체계도 강화된다. 지금까지는 개인정보가 실제로 유출됐다는 사실을 확인한 이후에만 이용자에게 통지하도록 규정돼 있었지만, 앞으로는 유출 가능성을 인지한 단계에서도 지체 없이 통지해야 한다. 또한 랜섬웨어 공격 등으로 인해 개인정보가 위조·변조되거나 훼손된 경우도 신고와 통지 대상에 포함된다. 이용자에게 사고 사실을 알릴 때는 손해배상 청구나 분쟁조정 등 피해 구제 방법도 함께 안내하도록 했다.
기업 내부 책임 구조도 바뀐다. 개정 법률은 최고경영자(CEO)를 개인정보 보호의 최종 관리 책임자로 명확히 규정하고, 일정 규모 이상의 기관에서는 개인정보 보호책임자(CPO) 지정이나 변경 시 이사회 의결을 거치도록 했다. CPO는 개인정보 보호 관련 인력과 예산 관리, 내부 보고 체계 구축 등 관리 역할을 보다 적극적으로 수행해야 한다. 정보보호 관리 체계 인증 제도도 강화된다. 공공기관과 주요 민간 기업을 대상으로 정보보호 및 개인정보 보호 관리 체계를 검증하는 ISMS-P 인증 제도가 일부 대상 기관에 의무화될 예정이다.
이를 통해 조직 차원의 보안 관리 체계를 상시적으로 유지하도록 유도한다는 취지다. 개정 법률은 올해 9월 11일부터 시행되며, 인증 의무화 제도는 준비 기간을 고려해 2027년 7월부터 적용된다. 개인정보보호위원회는 법 시행에 맞춰 세부 기준을 담은 시행령 개정을 추진하고, 기업과 공공기관을 대상으로 제도 안내와 현장 의견 수렴을 병행할 계획이다.
-심해영기자
심해영기자
<저작권자 © 재난포커스 무단전재 및 재배포금지>
