예스24·GS리테일·KT 처분 '아직'…"조사 진행 중"
송경희 개인정보보호위원회 위원장이 5일 서울 종로구 정부서울청사에서 출입기자단 정례브리핑을 열고 인사말을 하고 있다.
 [ⓒ개인정보위]
[디지털데일리 김보민기자] 개인정보보호위원회가 사전 예방 체계를 중심으로 정책 방향을 전환한다.
 인공지능(AI) 시대를 대비해 예방 노력을 기울인 기업에 인센티브를, 반복적 침해에 징벌적 제재를 적용하겠다는 방침이다.

송경희 개인정보위 위원장은 5일 서울 종로구 정부서울청사에서 브리핑을 열고 "AI 시대 개인정보보에 대해 관심이 높아진 가운데 사전 예방 체계가 가장 중요해졌다"며 "기업이 미리 투자해 안전한 개인정보보호 체계를 만들 수 있도록 강력한 인센티브를 고민 중"이라고 밝혔다.

앞서 개인정보위를 비롯한 관계 부처는 범정부 종합대책을 통해 해킹 지연 신고, 재발방지 대책 미이행, 개인·신용정보 반복 유출 등 보안 의무를 위반한 기업에 징벌적 과징금을 부과하는 제재를 강화하겠다고 예고했다.

송 위원장은 "미리 개인정보보호 체계를 구축해 관련 활동을 늘릴 경우 확실한 인센티브를 주고, 그럼에도 중대 사고가 발생한다면 그만큼 징벌적인 과징금을 내도록 할 것"이라며 "두 가지가 함께 가는 구조"라고 설명했다.

구체적인 인센티브 안은 이야기하지 않았다.
 송 위원장은 "제도 개선 태스크포스(TF)를 만들었고, 여러 전문가와 함께 논의를 진행하는 상황"이라며 "일회성에 그치는 것이 아닌 지속적인 지원과 적절한 처벌을 복합적으로 설계할 것"이라고 부연했다.

송 위원장은 예스24·GS리테일 등 올 초 보안 사고가 발생한 기업을 대상으로 조사가 아직 진행 중이라고 밝혔다.
 이어 "조사가 상당히 많이 진행되고 있다"며 "전반적인 사고 규모와 개인에 미치는 영향을 감안해 한정된 인력을 배분해 진행하다 보니 (비교적) 경미한 사고는 오래 진행되는 측면이 있다"고 말했다.
 무단 소액결제 사고가 발생한 KT에 대해서도 "아직 조사가 진행 중인 사안"이라고 덧붙였다.

조사 인력 충원이 필요하다는 점도 강조했다.
 송 위원장은 "2022년 개인정보위 조사관이 31명이 있었다는데 지금도 규모가 똑같다"며 "반면 3년 동안 처분 건수가 56% 증가했고 사고 규모도 급증했다는 점을 고려하면 개인정보위가 얼마나 어려움을 겪는지 짐작이 갈 것"이라고 전했다.
 그러면서 "적극적으로 인력 충원을 하는 상황"이라고 말했다.

개인정보위는 설계 단계에서부터 보안을 고려하는 '프라이버시 바이 디자인(Privacy by Design·PbD)' 인증제를 도입하는 등 사전 예방 체계를 강화할 수 있는 방안을 구상 중이다.
 아울러 최근 실효성에 의문이 제기된 '정보보호 및 개인정보보호 관리체계 인증(ISMS-P)'를 개선하는 방안도 고민하고 있다.

그러나 일부 기업은 사전 예방 체계를 명목으로 더 많은 규제가 생길 수 있다는 우려를 제기한다.
 이와 관련해 송 위원장은 "사전 예방 체계가 곧 규제라는 것은 오해"라며 "규제가 아닌 (보안 투자 등을) 자발적으로 할 수 있도록 유도하겠다"고 약속했다.
 이어 "의무적으로 PbD 인증을 받게 하는 것이 아닌, 해당 인증을 획득하면 그만큼 신뢰할 수 있는 AI와 서비스가 통용되도록 만들겠다"고 말했다.