개인정보 유출 땐 72시간 내 통지 의무, 기업 책임 강화하는 ‘개인정보 보호법’ 시행령 개정

article_right_top

개인정보 유출 사고가 잇따르는 가운데 정부가 기업과 공공기관의 개인정보 보호 책임을 대폭 강화하는 제도 개편에 나섰다. 앞으로 대규모 개인정보를 보유한 기관은 개인정보보호책임자(CPO) 선임 과정까지 이사회 통제를 받게 되며, 해킹 정황만 확인돼도 이용자에게 72시간 안에 사실을 알려야 한다.

개인정보보호위원회는 개인정보 유출 예방과 사고 대응 체계를 강화하기 위한 「개인정보 보호법 시행령」 개정안을 마련해 6월 2일부터 7월 13일까지 입법예고한다고 밝혔다. 이번 개정은 오는 9월 시행되는 개정 개인정보보호법의 후속 조치 성격으로, 기업의 관리 책임을 높이고 정보주체의 권리를 보다 두텁게 보장하는 데 초점이 맞춰졌다.

가장 큰 변화는 개인정보보호책임자(CPO)의 위상 강화다. 개정안에 따르면 일정 규모 이상의 개인정보처리자는 CPO를 지정하거나 변경·해제할 때 반드시 이사회 의결을 거쳐야 하며, 그 내용을 개인정보보호위원회에 신고해야 한다. 대상은 연 매출 또는 수입이 1,800억 원 이상이면서 민감정보 5만 명 이상 또는 일반 개인정보 100만 명 이상을 처리하는 기업, 재학생 2만 명 이상 대학, 상급종합병원, 공공시스템 운영기관 등이다.

또한 해당 기관들은 CPO 인사 조치가 발생한 날로부터 1개월 이내에 개인정보위에 신고해야 하며, 불가피한 사유가 있을 경우 한 차례에 한해 신고 기한 연장이 가능하다. 개인정보 보호 수준을 객관적으로 검증하는 ISMS-P 인증 의무 대상도 확대된다. 개정안은 이동통신사업자, 본인확인기관, 주요 공공시스템 운영기관뿐 아니라 대형 온라인 플랫폼 사업자까지 인증 의무 대상에 포함했다. 구체적으로는 전년도 매출액 1조 원 이상, 정보통신서비스 부문 매출액 100억 원 이상이며 최근 3개월 기준 국내 이용자 개인정보를 하루 평균 3천만 명 이상 저장·관리하는 사업자가 대상이다. 해당 기업들은 2028년 말까지 인증을 취득해야 한다.

개인정보 유출 사고 통지 의무도 한층 강화된다. 기존에는 실제 유출 사실이 확인된 경우 중심으로 대응했지만 앞으로는 개인정보처리시스템에 대한 불법 접근이 확인되거나 개인정보가 불법 거래·유통되는 정황을 인지한 경우에도 이용자에게 통지해야 한다. 또한 분실·도난·유출뿐 아니라 개인정보 위조, 변조, 훼손 사례까지 신고 및 통지 대상에 포함해 보호 범위를 확대했다. 이는 최근 랜섬웨어 공격이나 데이터 변조 사고가 증가하는 상황을 반영한 조치로 풀이된다.

제재 체계도 손질된다. 개정안은 비교적 경미한 위반행위에 대해서는 과태료 대신 경고 조치를 할 수 있도록 하면서도, 동일 위반행위가 반복될 경우 이전 경고 이력을 위반 횟수에 포함해 가중 처벌하도록 했다. 예를 들어 첫 번째 위반 때 경고를 받았더라도 같은 문제가 재발하면 두 번째 위반 기준의 과태료가 적용된다. 정부는 이를 통해 경미한 실수에는 행정 부담을 줄이면서도 반복적인 법규 위반에 대해서는 실효성 있는 제재가 가능해질 것으로 기대하고 있다.

이번 시행령 개정은 개인정보 보호를 단순한 전산관리 문제가 아닌 기업 경영과 이사회 차원의 핵심 리스크 관리 영역으로 끌어올렸다는 점에서 의미가 크다. 특히 대형 플랫폼과 통신사, 병원, 대학 등 국민 개인정보를 대규모로 보유한 기관들에 대한 책임과 감독 체계가 크게 강화될 전망이다. 개인정보보호위원회는 입법예고 기간 동안 의견을 수렴한 뒤 시행령 개정을 마무리하고, 오는 9월 개정 개인정보보호법 시행에 맞춰 새로운 제도를 본격 운영할 계획이다.

-심해영기자