“반복 해킹엔 징벌적 과징금”…개인정보위, 피해구제 기금 신설 가속

반복적인 개인정보 유출과 해킹 사고가 이어지며 개인정보 보호 체계 전반에 변혁이 추진된다. 개인정보보호위원회는 11일 ‘개인정보 안전관리 체계 강화 방안’을 발표하고, 대규모 유출 사고 등 사회적 파장이 큰 사건에 대한 ‘징벌적 과징금’과 과징금의 피해자 직접 구제를 위한 ‘개인정보 피해구제 기금’ 도입 검토에 착수한다고 밝혔다. 이번 방안은 단순 규제 강화가 아니라, 시장 내 보안 투자 수준과 선제적 대응 조치에 따라 차등 인센티브를 제공하는 등 기업의 자발적 관리체계 전환에 무게가 실린다. 업계는 실질적 피해 구제와 인증체계 고도화로 개인정보 보호 경쟁이 본격화되는 전환점이 될 것으로 본다.

이번 대책의 첫 축은 개인정보 유출 예방을 위한 공격표면관리 강화와 그에 따른 선제적 보안 투자 촉진에 있다. 연 1회 모의해킹 의무화, 취약점 정례 점검, 자동화 이상징후 탐지 등 기술적·운영상 조치가 기업과 기관에 명확히 요구된다. 특히 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증제는 현장 취약점 검사 및 신종 해킹 사례 반영 등으로 심사 기준을 한층 엄격히 개정, 사고 기업 대상으로는 사후 관리까지 대폭 강화된다. 공공 및 핵심 서비스 영역은 단계적 의무화 방안도 추진된다.

한편 보안 책임의 범위와 투자 기준도 구체화된다. 개인정보보호책임자(CPO) 외 최소 1인 이상의 전담 인력 배치와 정보화 예산 10% 이상을 개인정보 보호에 투입할 시 사고시 책임 경감, 공공기관 평가 가점 등 다양한 인센티브가 도입될 전망이다. 최고경영자(CEO)와 CPO의 법적 책임과 권한 역시 명확히 분리·강화돼, 실제 관리주체가 경영진과 이사회에 실질적 보고 의무를 갖게 된다.

제재 수단의 실효성 제고도 핵심 축이다. 고의적 또는 반복적 유출 사고가 발생한 기업은 과징금 가중, ‘징벌적 과징금’까지 검토돼 경각심을 높일 방침이다. 개인정보위가 부과한 과징금은 2022년 1,018억, 2023년 232억, 지난해 611억 원에 달한다. 앞으로 이러한 과징금 일부는 ‘개인정보 피해구제 기금’으로 조성, 실제 유출 피해자의 신속한 구제에 직접 쓰이는 구조로 전환된다. 유출 규모와 위험성이 클 경우 피해 가능성이 있는 모든 정보주체에게 알리도록 통지 범위도 넓힌다. 추가로, 대형 기업의 손해배상 보장과 피해자 보호를 위한 보험상품 강화 등 자율적 피해구제 시스템도 예고됐다.

이번 강화안은 2024년 연내 입법안 마련, 내년 상반기 국회 제출을 목표로 추진된다. 중장기 과제는 이해관계자 의견을 취합해 단계적으로 입법될 방침이다. 고학수 개인정보위원장은 “개인정보 보호 투자는 더 이상 비용이 아니라 신뢰와 경쟁력의 기반”이라며 “관리체계 강화를 통해 국민 신뢰와 산업 혁신 모두를 이끌어내겠다”고 강조했다.

산업계는 기술적·제도적 정비가 실제 시장의 보안 역량 제고로 이어질지 주목하고 있다. 결국 보안 투자와 책임의 명확화, 피해구제 제도화가 개인정보 산업의 신뢰 회복과 글로벌 경쟁력 강화를 좌우할 변수로 부상하고 있다.