송경희 개인정보위원장은 3일 "ISMS-P 제도가 전반적인 정보보호 수준을 끌어올린 효과는 부정하기 어렵지만, 부족한 점이 많이 있다"고 밝혔다.

송 위원장은 이날 열린 국회 정무위원회 현안 질의에 'ISMS-P 인증 기업 263곳 중 27개 기업에서 33건의 개인정보 유출 사고가 발생했다'는 지적에 이같이 답했다.

ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회가 공동 운영하는 국내 유일의 정보보호·개인정보보호 관리체계 인증 제도다.

송 위원장은 현행 인증 방식에 대해 "지금은 서면심사와 샘플링 조사 위주로 인증을 부여하고 있다"며 "예비심사제도 도입과 현장심사 확대 등을 검토하고 있다"고 설명했다. 이어 "인증 후에는 매년 모의해킹 등을 통해 실제로 인증 기준에 맞게 운영되는지를 점검하고, 심각하게 기준을 지키지 못하는 기업·기관은 인증을 취소할 계획"이라고 강조했다.

ISMS-P 인증 제도 강화 주문에 대해서는 "과기정통부와 함께 제도개선 태스크포스(TF)를 구성해 개선안을 검토 중"이라며 "인증을 받았음에도 사고가 발생한 24개 기업에 대해 12월 중 현장 조사를 실시할 계획"이라고 설명했다.

긴급 현안 질의에서는 '징벌적 손해배상' 청구 가능성도 언급됐다. 김승원 더불어민주당 의원은 이날 송 위원장에게 "쿠팡의 연 매출이 41조이니 (매출액의 최대 3%인) 과징금은 1조2천억원까지 부과가 가능하다"며 "현행법에서도 그 5배인 6조원까지 징벌적 손해배상을 청구할 수 있지 않은가"라고 질의했다. 이에 송 위원장은 "관련 규정이 있다"고 답했다.

현행 개인정보보호법은 고의 또는 중대한 과실로 개인정보가 유출돼 피해가 발생하면 법원이 손해액의 최대 5배까지 배상할 수 있도록 규정하고 있다. 다만 고의 또는 중과실이 없음을 증명할 경우에는 적용하지 않는다는 단서 조항이 있어 2015년 도입 후 적용된 사례가 전무하다.

송 위원장은 이와 관련해 "재판 절차를 거쳐야 하고, 소송이 장기화되거나 손해액 입증이 어려운 탓에 (징벌적 손해배상) 제도가 실효성 있게 작동하지 못하는 상황"이라며 "과징금을 강화하는 한편 징벌적 손해배상제도의 실효성을 제고할 수 있는 방안을 강구하겠다"고 밝혔다.

집단소송 제도 도입 필요성에 대한 지적에는 "다양한 방식을 검토하고 있다"며 "현행 개인정보보호법 제51조에 단체소송 규정이 있지만, (권리 침해 행위에 대한) 금지 청구만 가능하고 손해배상 청구가 포함돼 있지 않다. 손해배상을 포함하는 방안도 검토 중"이라고 말했다.





