[KJtimes=김은경 기자] 정부가 개인정보 유출사고 대응 체계를 대폭 강화한다. 실제 유출이 발생한 이후 대응하는 수준을 넘어, 해킹이나 불법 유통 가능성 단계부터 이용자에게 통지하도록 제도를 손질하면서다. 특히 대형 플랫폼과 통신사, 주요 공공기관 등에 대해 개인정보 보호책임자(CPO) 관리 체계와 보안 인증 의무도 강화된다.

개인정보보호위원회는 6월 2일 개인정보 유출사고 예방 및 대응 체계 강화를 위한 '개인정보 보호법 시행령' 일부개정령안을 마련해 오는 7월 13일까지 입법예고한다고 밝혔다.

이번 시행령 개정은 지난 3월 10일 공포된 개정 개인정보 보호법의 후속 조치다. 개정법은 오는 9월 11일부터 시행될 예정이며, 대형 개인정보처리자에 대한 책임성과 사전 예방 의무를 강화하는 데 초점이 맞춰졌다.

업계에서는 최근 대형 플랫폼과 통신사, 공공기관 등을 중심으로 개인정보 유출사고가 반복되면서 정부가 규제 체계를 한층 강화하는 방향으로 움직이고 있다는 분석이 나온다. 실제 국내에서는 최근 수년간 대규모 개인정보 유출과 해킹 사고가 이어지며 기업 신뢰도와 소비자 피해 문제가 지속적으로 제기돼 왔다.

IT업계 관계자는 "기존에는 개인정보가 실제 유출된 뒤 사후 통지하는 구조였다면, 앞으로는 해킹 흔적이나 불법 거래 정황만 확인돼도 즉시 대응해야 하는 체계로 바뀌는 것"이라며 "기업 입장에서는 보안 투자와 내부 통제 부담이 상당히 커질 가능성이 있다"고 말했다.

개정안에 따르면 앞으로 일정 규모 이상 개인정보처리자는 개인정보 보호책임자(CPO)를 지정·변경·해제할 경우 이사회 의결을 거쳐 개인정보보호위원회에 신고해야 한다. 대상은 연 매출 또는 수입이 1800억원 이상이면서 5만명 이상 민감·고유식별정보 또는 100만명 이상 개인정보를 처리하는 사업자와 재학생 2만명 이상 대학, 상급종합병원, 공공시스템운영기관 등이다.

또 신고 대상 기관은 의무 발생 후 1개월 이내에 개인정보위에 신고서를 제출해야 하며, 부득이한 경우 1개월 추가 연장이 가능하다.

◆"해킹 징후만 있어도 통지"… 기업 보안 책임 대폭 강화

정부는 개인정보 보호 인증(ISMS-P) 의무 대상도 구체화했다. 개정안에 따르면 ▲일부 공공시스템운영기관 ▲이동통신사업자 ▲본인확인기관 ▲전년도 매출액 1조원 이상이면서 정보통신서비스 부문 매출 100억원 이상, 국내 정보주체 수가 직전 3개월 기준 일일 평균 3000만명 이상인 사업자는 오는 2028년 12월 31일까지 ISMS-P 인증을 받아야 한다.

업계에서는 사실상 대형 플랫폼과 주요 IT·통신 기업 상당수가 대상에 포함될 가능성이 크다고 보고 있다. ISMS-P 인증은 정보보호와 개인정보보호 관리체계 전반을 평가하는 제도로, 인증 획득과 유지에 상당한 비용과 관리 역량이 필요한 것으로 알려져 있다.

특히 이번 개정안에서 가장 주목되는 부분은 '개인정보 유출 가능성 통지제' 도입이다. 앞으로 기업이나 기관이 개인정보처리시스템에 대한 불법 접근 사실을 인지했거나 개인정보 불법 거래·유통 정황을 확인한 경우, 실제 유출 여부가 확정되지 않았더라도 72시간 이내에 정보주체에게 이를 통지해야 한다.

또 기존 분실·도난·유출뿐 아니라 개인정보 위조·변조·훼손 상황까지 통지 및 신고 의무 대상에 포함됐다. 개인정보 사고 범위를 보다 넓게 규정하면서 사전 예방과 초기 대응 체계를 강화하겠다는 취지다.

정부는 과태료 체계도 정비한다. 경미한 위반행위에 대해 경고 처분을 받은 경우에도 향후 동일 위반이 반복되면 과태료 가중 기준에 반영하기로 했다. 반복 위반 사업자에 대한 제재 실효성을 높이겠다는 의미다.

업계에서는 이번 개정안 시행 이후 기업들의 내부 보안 조직 위상과 개인정보 관리 체계에도 변화가 불가피할 것으로 보고 있다. 특히 CPO 독립성 강화와 이사회 의결 의무화는 개인정보 보호를 단순 실무 영역이 아닌 경영 리스크 차원에서 관리하겠다는 정부 기조를 반영한 조치라는 평가가 나온다.