"중대 개인정보 유출 기업에 매출 10% 과징금"…쿠팡·KT 등은 적용 불가(종합)

사후 처벌에서 사전 예방 중심으로 전환
주요 공공 시스템, 개보위가 직접 관리
개인정보 보호 인력·예산도 확대
"쿠팡·KT 사고 조사 마무리…이른 시일 내 통지 예정"

앞으로 중대하거나 반복된 개인정보 유출 사고를 일으킨 기업은 매출의 최대 10%를 징벌적 과징금으로 내야 한다. 동시에 선제적인 개인정보 보호 투자를 한 기업·기관들은 과징금 감경과 같은 인센티브를 받을 수 있다. 다만 새 제도가 법 개정 이후인 오는 9월부터 적용되는만큼 이미 대규모 정보유출 사고가 발생한 쿠팡, KT 등은 대상에서 제외된다.

개인정보보호위원회는 이 같은 내용을 담은 '예방 중심 개인정보 관리체계 전환 계획'을 12일 대통령 주재 국무회의에서 보고했다고 밝혔다. 이번 계획은 인공지능(AI) 디지털 전환과 플랫폼 경제 확산으로 개인정보 활용이 늘어나는 상황에서 개인정보 보호 수준을 높이고 대형화되는 유출 사고에 실질적으로 대응하기 위해 마련됐다.

송경희 개인정보보호위원회 위원장이 12일 오후 서울 종로구 정부서울청사에서 '예방 중심 개인정보 관리체계 전환 계획'에 대해 브리핑 하고 있다. 개인정보보호위원회

중대 유출 사고엔 매출 10% 과징금…기존 사고엔 적용 못 해

먼저, 반복적이거나 중대한 개인정보 보호법 위반행위에 대해서는 매출액의 최대 10%에 달하는 징벌적 과징금을 부과한다. 기존에는 최근 3개년 평균 매출의 최대 3%를 과징금으로 매길 수 있었다. 징벌적 과징금 특례는 오는 9월11일 시행된다.

송경희 개인정보위 위원장은 "징벌적 과징금은 3년 안에 반복적으로 중대 과실에 의해 사고가 일어나거나 이용자 규모가 1000만명 이상 경우, 시정명령을 내렸음에도 개선하지 않아 사고가 일어난 경우 등에 부과한다"고 설명했다. 중대한 위반행위가 아닌 경우에는 기존처럼 매출의 최대 3%를 과징금으로 부과한다.

과징금 산정 기준도 '직전 연도 매출액'과 '3년 평균 매출액' 중 높은 금액을 적용한다. 현행법은 3년 평균 매출액을 기준으로 과징금을 산정하도록 돼 있다. 새로운 과징금 산정 기준 적용 시점은 이달 19일부터다.

해킹(이미지=게티이미지뱅크)

다만 징벌적 과징금과 변경된 산정 기준은 현재 조사가 진행 중인 정보유출 사고에 대해서는 적용하지 않는다. 이에 따라 지난해 대규모 정보유출 사고가 발생한 쿠팡과 KT 등은 징벌적 과징금을 비켜 갈 수 있게 됐다. 송 위원장은 "관련 시행령이 오늘 국무회의에서 통과돼 공포가 될 예정인데, 이후에 발생하는 사고에 적용된다"면서 "(쿠팡 등에 대한 처분은) 법 원칙에 따라서 이뤄질 예정이며, 책임에 상응하는 처분을 내릴 것"이라고 말했다.

신속한 조사와 처분을 위해 이행강제금을 부과하는 제도도 도입한다. 증거 은닉 행위는 제재를 강화하는 동시에 신고포상금 제도도 도입할 계획이다. 다만 영세기업의 경미한 보호법 위반은 재발 방지와 개선을 위한 시정 기회를 부여하되, 위반이 반복되면 엄정 대응할 방침이다.

인센티브 등을 통해 기업의 개인정보 보호 수준 향상을 위한 투자 역시 유도한다. 앞으로는 법정 기준을 웃도는 선제적 보호조치, 적극적인 보안 투자, 실효적인 안전관리체계 운영 여부를 종합적으로 평가해 과징금 감경과 같은 인센티브를 부여할 예정이다. 아울러 기업의 개인정보 보호 활동을 공개하도록 유도해 스스로 보호 역량을 높이도록 할 계획이다.

개인정보 유출로 인한 피해 구제와 회복 지원에도 나선다. 우선 개인정보 유출 사고 시 기업과 기관의 손해배상 책임을 원칙으로 하고 전반적인 입증 책임을 기업이 지도록 해 손해배상 제도를 활성화한다.

다크패턴과 같이 이용자를 속이거나 오인하게 만들어 개인정보 수정, 동의 철회, 탈퇴를 어렵게 하는 행태를 집중 점검하고 개인정보 침해신고센터도 전문 상담과 컨설팅, 피해 조치 지원 등 기능을 강화한다.

민감정보 유출 시에는 사회관계망서비스(SNS) 등에서의 불법 유통 여부를 모니터링해 탐지·삭제하고 수사기관과 협력해 개인정보 불법 유포자와 이용자를 추적해 처벌하는 등 엄정 대응할 방침이다.

개인정보 중심 설계 제도화…예산·인력 확충도

한편, 개인정보위는 위험 수준에 따라 차등적으로 점검하는 위험기반 관리체계를 구축하고, 주요 공공 시스템(387개)과 교육·복지 등 고위험 분야는 개인정보위가 집중 관리한다. 기업과 산업 전반의 개인정보 보호 경쟁력을 높이기 위해 클라우드 사업자, 전문수탁사, 시스템 공급사를 포함해 공급망 전반으로 점검을 확대한다. 개인정보위는 현재 상조 회사, 고객상담센터 등을 점검하고 있다.

서비스 기획·설계 단계부터 개인정보 중심 설계(Privacy by Design·PbD) 원칙이 반영되도록 제도화한다. PbD는 시스템 설계 단계부터 개인정보 보호 요소를 고려하는 것을 뜻한다. 개인정보 처리 환경이 복잡해지면서 서비스가 출시된 이후에는 침해를 막기 어렵기 때문이다. 또한 개인정보 영향평가 기준과 ISMS-P 인증 기준에 개인정보 보호 중심설계 원칙을 반영할 계획이다.

송 위원장은 최근 앤스로픽의 범용 AI 모델 미토스로부터 불거진 보안 우려에 대해 "개인정보위도 대책을 준비하고 있다"면서 "사람 중심의 방어체계에서 앞으로는 AI 에이전트가 공격할 수 있다는 가정하에 대응하는 체제로 갖춰나가야 할 것"이라고 말했다.

개인정보 보호 전담 인력과 예산 역시 늘리고 민관 협력을 통해 보호 수준을 끌어올린다. 아울러 개인정보 보호 전문인력 양성을 위해 대학원 과정을 권역별, 지역별로 확대할 방침이다.

한편, 송 위원장은 쿠팡과 KT의 개인정보 유출사고 조사 진행 상황에 대해 "조사를 마무리하고 절차에 따라 처분 사전통지서를 보냈다"면서 "사전통지서에 대한 사업자의 의견을 받아 검토한 뒤 처분을 의결할 것"이라고 밝혔다. 이에 따라 쿠팡 등에 대한 제재는 이르면 6월 중 결론이 날 예정이다.

이명환 기자 lifehwan@asiae.co.kr