정부가 대규모 개인정보 유출 사고를 막기 위해 과징금 상한을 기존보다 크게 높인다. 반복적이거나 중대한 위반이 확인될 경우 기업 매출의 최대 10%까지 징벌적 과징금을 부과하는 제도가 오는 9월 시행된다.
개인정보보호위원회에 따르면 개정 개인정보 보호법에 따라 중대한 위반행위에 대한 제재 수준이 강화된다. 지금까지는 개인정보 유출 사고가 발생해도 최대 과징금이 매출액의 3% 수준이었지만, 앞으로는 최대 10%까지 확대된다.
강화된 제재는 일정 요건을 충족할 때 적용된다. 최근 3년 동안 고의 또는 중대한 과실로 법 위반을 반복한 경우, 고의나 중대한 과실로 1000만 명 이상 대규모 피해를 발생시킨 경우, 시정명령을 이행하지 않아 개인정보 유출 사고가 발생한 경우 등이 대상이다.
다만 기업의 개인정보 보호 투자에 대해서는 감경 장치가 마련됐다. 개인정보 보호 관련 예산과 인력, 설비 등을 적극적으로 투자해 운영한 사실이 확인되면 과징금을 의무적으로 감경하도록 했다. 단 고의 또는 중대한 과실이 인정될 경우에는 감경 대상에서 제외된다.
경영진 책임도 확대된다. 기존에는 최고개인정보보호책임자(CPO) 중심으로 관리 책임이 부과됐지만 앞으로는 최고경영자(CEO)의 감독 책임이 법률에 명시된다. 일정 규모 이상의 개인정보 처리자는 CPO 지정이나 변경, 해제 시 이사회 의결을 거쳐 개인정보보호위원회에 신고해야 한다.
CPO의 역할도 강화된다. 개인정보 보호에 필요한 전문 인력 관리와 예산 확보를 담당하고, 관련 사항을 대표이사와 이사회에 보고하도록 했다.
사고 통지 기준도 확대된다. 개인정보가 실제로 유출되지 않았더라도 유출 가능성이 확인되면 지체 없이 이용자에게 통지해야 한다. 랜섬웨어 공격 등으로 개인정보가 위조·변조·훼손된 경우도 앞으로는 유출 사고 범위에 포함돼 신고와 통지 대상이 된다.
또 주요 기업과 기관이 자율적으로 운영해 온 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)은 의무화된다. 기업의 준비 기간을 고려해 해당 제도는 내년 7월 1일부터 시행될 예정이다.
개인정보 보호 규제가 크게 강화되면서 산업계에서는 기업 부담 증가를 우려하는 목소리도 나온다. 최근 사이버 공격이 고도화되는 상황에서 보안 책임을 기업에 과도하게 묻는 것 아니냐는 지적이다.
중소·중견기업에 대한 현실적인 적용 기준이 필요하다는 의견도 제기된다. 한 업계 관계자는 영세 기업의 경우 보안 담당 임원이 따로 없는 경우가 많다며 경영진 책임이 강화되는 만큼 기업 규모와 투자 여력을 고려한 정책 설계가 필요하다고 말했다.
또 다른 관계자는 과징금 산정 기준의 명확성이 중요하다고 강조했다. 서비스 관련 매출만 기준으로 삼을지, 전체 매출을 기준으로 할지에 따라 기업 부담이 크게 달라질 수 있기 때문이다.
유출 여부가 확정되지 않은 상태에서 가능성만으로 이용자에게 통지해야 하는 규정 역시 시장 혼선을 초래할 수 있다는 지적도 나온다. 업계에서는 세부 시행령을 보다 정교하게 마련해야 한다는 요구가 이어지고 있다.
