 |
송경희 개인정보보호위원회 위원장이 21일 서울 중구 프레스센터에서 개최된 출입기자단 신년간담회에서 인사말을 하고 있다. |
송경희 개인정보보호위원회 위원장이 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받았음에도 유출 사고가 발생한 기업에 대한 ‘인증 취소’를 예고했다. 인증 실효성 논란이 커지는 가운데 모의해킹 등의 실질적인 사후 심사를 통해 인증 신뢰성을 높이고 취소 기준도 마련한다는 방침이다.
21일 송 위원장은 서울 중구 프레스센터에서 진행된 기자간담회에서 “지난해 유출 사고가 난 기업에 대한 인증 취소가 있을 것으로 예상된다”며 “인증 취소 기준도 준비하고 있다”고 말했다. 개인정보위는 2027년 7월부터 주요 개인정보 처리자를 대상으로 ISMS-P 인증을 의무화할 예정이다.
취임 100일을 넘긴 송 위원장은 모두발언에서 개인정보 보호 정책의 방향 전환을 거듭 강조했다. 그는 “AI 시대에는 한 번의 관리 실패가 단기간에 대규모·연쇄적 피해로 확산될 수 있다”며 “사후 제재 중심에서 사전 예방 중심으로 전환하기 위한 기반 마련에 집중하고 있다”고 말했다.
예방 중심으로의 정책 전환이 제재 기조 약화를 의미하는 건 아니다. 송 위원장은 “중대·반복 위반에 대해서는 전체 매출액의 10%까지 부과하는 징벌적 과징금 특례 도입을 추진 중”이라며 “개인정보 보호를 기업의 선택이 아닌 경영의 전제 조건으로 인식하도록 하는 구조적 장치”라고 강조했다.
이 같은 '강력한 제재' 원칙은 현재 진행 중인 과징금 소송에도 그대로 적용된다. 송 위원장은 개인정보위가 부과한 1300억 원의 과징금에 대해 최근 SKT가 취소 소송을 제기한 것을 두고 “적극적으로 대응하겠다”며 “여러 법적 사항을 철저하게 검토해서 나온 처분”이라고 밝혔다.
이어 송 위원장은 “과징금 부과는 대규모 개인정보를 보유∙저장∙활용하는 과정에서 통제를 제대로 못해 정보 주체한테 피해를 끼친 것에 대한 책임을 묻는 것”이라며 정보 유출로 인한 금융 피해가 없는데도 불구하고 과징금이 과도하다는 일각의 지적에 정면으로 반박했다.
조사 과정에서의 강제력도 한층 강화한다는 방침이다. 송 위원장은 “LG유플러스의 서버 폐기는 매우 심각한 문제”라며 “조사 강제력을 높이고 자료 보전 명령 등을 위한 법률안을 마련하고 있다”고 말했다. 개인정보위는 자료 제출 의무를 이행하지 않을 경우 이행 강제금도 부과할 계획이다.
최근 미국 의회가 미국 기업인 쿠팡을 옹호하는 움직임을 보이는 가운데 쿠팡 개인정보 유출 사건에 대한 조사 결과에도 관심이 쏠리고 있다. 이와 관련해 송 위원장은 “해외 사업자든 국내 사업자든 상관없이 개인정보보호법에 근거해서 엄정하게 조사하는 것이 원칙”이라며 “통상의 변수가 될 수 있다는 것은 고려하고 있지 않다”고 밝혔다.
송 위원장은 “쿠팡에 대한 유출조사가 상당히 진행됐다”며 “3000만 명 이상의 개인정보 유출은 확실하다”고 말했다. 이어 “개인정보 안에 다른 사람의 배송지 등의 비회원 정보도 상당 수 포함됐다”며 “유출 정보의 유형과 규모를 정밀하게 확인 중”이라고 덧붙였다.
[이투데이/김연진 기자 (yeonjin@etoday.co.kr)]
▶프리미엄 경제신문 이투데이 ▶비즈엔터
이투데이(www.etoday.co.kr), 무단전재 및 수집, 재배포금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.