SK텔레콤 해킹 사태 여파가 여전한 가운데 정부가 개인정보 유출 사고가 난 기업·기관이 피해자(정보주체)에게 구체적인 피해 회복을 해 줄 경우 과징금을 감면해주는 방안에 대한 검토에 나섰다. 

이와 함께 오는 2030년까지 기업·기관의 개인정보보호 예산 비중을 각 기관 IT(정보통신) 예산의 15%까지 확대하는 방안도 추진한다.

21일 개인정보보호위원회는 서울 중구 은행회관에서 한국CPO(개인정보보호책임자)협의회와 공동 주관한 '개인정보 정책포럼'에서 이 같은 내용을 담은 '개인정보 안전관리 체계 강화 추진방향'을 소개했다.

역대 최악의 국내 해킹 사고로 기록된 'SK텔레콤 개인정보 유출 사고'를 계기로 민·관의 개인정보 안전관리 체계를 강화하기 위한 차원이라는 설명이다. 100만명 이상의 개인정보를 처리하는 대규모 개인정보처리자를 대상으로 추진된다.

고학수 개인정보보호위원회 위원장은 이날 포럼 개회사에서 "약 2500만명의 가입자를 보유한 SK텔레콤의 개인정보 유출 사고가 발생해 국민들의 우려가 대단히 큰 상황"이라며 "SK텔레콤 개인정보 유출 사고는 디지털 전환과 인공지능(AI) 심화시대에 국민 신뢰를 위협하는 매우 중대한 사건"이라고 지적했다.

그러면서 "법 위반사항에 대해 강력하게 제제할 것"이라며 "이번 사건을 계기로 공공과 민간이 함께 우리 사회 전반의 개인정보 안전관리 체계를 강화해나갈 필요가 있다"고 강조했다.

특히 개인정보위에 따르면 올해 1~4월 'SK텔레콤 해킹 사건' 등을 포함해 국내에서 유출된 개인정보 규모가 작년 대비 3배 가까이 대폭 증가한 것으로 나타났다. 지난 2022년~2024년 유출신고 건수는 매년 약 300건 내외였으나 올해는 1~4월 넉 달간 113건이 발생한 것이다.

개인정보위는 "올해는 신고 건수 대비 개인정보 유출 규모가 SK텔레콤 사건 등으로 '위기상태' 규모로 급증했다"고 진단했다.

이에 이날 고낙준 개인정보위 신기술개인정보과장은 현행 제재 수단인 과징금과 과태료 등은 실질적인 피해구제에 한계가 있다고 지적하며 피해보상 등을 통해 구체적인 피해회복 시 과징금 감면과 연계하는 개선 방안을 소개했다. 사업자의 자발적 피해구제를 유도하자는 취지다.

또 법으로 정한 암호화 대상 외 개인정보도 암호화 조치를 할 경우 유출 사고가 나더라도 과징금 감경 등 인센티브를 제공하는 방안을 검토한다는 방침이다.

고 과장은 "암호화 외에도 모의해킹 등 자발적·선제적 보호조치 시 과징금·과태료 부과 등에 전향적 고려가 가능하다"고 말했다.

이어 시장감시·권리구제 지원 등을 위해 '개인정보 옴부즈맨'을 설치하는 방안도 제시했다.

개인정보 옴부즈맨은 학계, 시민단체 및 공모를 통해 선발된 일반 국민 등 15인 이내로 구성되는 기구로, 반기별로 1회 회의를 개최해 옴부즈맨이 논의 안건을 제시하면 개인정보위는 검토 후 의견을 제시하고 필요시 조사와 개선 권고 등에 나서는 형태다.

이밖에 개인정보위는 인증을 위한 검증 절차가 형식에 그치고 있다는 지적을 받아온 '정보보호 및 개인정보보호 관리체계 인증(ISMS-P)'의 실효성을 강화하는 계획도 내놨다.

다크웹 상의 개인정보 불법유통 조기경보 체계를 구축해 개인정보 탐지 시 해당 개인정보처리자와 유관기관에 신속 공유하고 정보주체 유출통지 및 유출경로 확인 등을 지원한다는 구상이다.

이를 위해 개인정보위는 내년 예산확보 및 조기경보 체계 구축에 나선다는 방침이다. 또 대규모 정보처리자의 개인정보 보호 분야 투자 기준을 마련하는 방안도 추진한다.

아울러 전체 IT 인력의 최소 10%를 개인정보 보호 담당 인력으로 배정하도록 한다는 계획이다. 또 기관·기업별 정보보호 예산 비중은 오는 2027년까지 전체 IT 예산의 최소 10%를, 2030년까지는 이를 15%로 확대하도록 했다. 이 예산은 이상행위 탐지시스템과 취약점 점검, 모의해킹 등 투자 필요 분야에 활용될 예정이다.

공공기관 중심의 일회성 평가에 그쳐온 개인정보 영향평가도 민간으로 확대해 자율적·체계적으로 이뤄지는 여건을 조성하고 '개인정보 기술분석센터'를 신설해 복잡·전문화하는 기술환경에 대처하는 방안도 제시됐다.

다만 개인정보위는 이날 발표한 강화 대책은 현시점에서 검토되는 최소한의 대책으로, 향후 수정·보완될 수 있으며 앞으로도 각계각층의 다양한 의견을 수렴해 내달 중 확정할 계획이라고 밝혔다.

현재 개인정보위는 SK텔레콤으로부터 유출이 신고된 지난달 22일부터 사안의 중대성을 고려해 태스크포스(TF)를 구성하고 즉시 조사에 착수한 상태다.

고 위원장은 "개인정보위는 민관 합동조사단과 별개로 독립적으로 엄정하게 조사를 하고 있으며 위원회와 관계기관이 역량을 집중해 신속한 조사 진행을 위해 최선을 다하고 있다"고 설명했다.

이 가운데 SK텔레콤 해킹 사건을 조사 중인 민관 합동 조사단은 이날 현재까지 해킹의 주체 등이 확인된 바 없다고 밝혔다.

조사단은 "SK텔레콤 서버 감염 여부, 자료 유출 여부와 규모, 보안 취약점 분석 등을 목적으로 조사를 진행하고 있으며 해킹 주체 등의 조사는 수사기관에서 담당하고 있다"고 덧붙였다.

한편 고 위원장은 포럼 이후 기자간담회에서 "SK텔레콤 (개인정보 유출 사고) 건은 저희가 보는 정황으로는 역대급 사건"이라며 "경각심을 갖고 심각하게 사안을 들여다보고 있다"고 말했다. 

그러면서 "기본적으로 국민적인 피해가 발생한 것이고 일부는 피해 발생을 증명할 단서를 말씀하시는데, 이미 피해는 어마어마하게 발생한 것이고 회사가 그 피해를 막지 못한 것"이라고 해킹 사태의 주된 원인을 짚었다.

SK텔레콤이 그간 개별 이용자에게 정보 유출 통지를 하는 과정에 대해서는 강한 유감을 표명하기도 했다.

고 위원장은 "(SK텔레콤의) 통지는 저희가 5월 2일 의결하고 9일 통지가 되긴 했으나 굉장히 유감이 많다"며 "그때까지 통지 안 한 것도 문제이고 통지내역에 '유출 가능성을 추후 알리겠다'고 표현한 것, 법에서 요구한 부분에 부합 안 된 내용도 있었다"고 지적했다.

그러면서 "제대로 된 통지가 아니라고 판단했고 뒤늦게 부실하게 했다. 그 자체가 문제"라며 "SK텔레콤 측에 통지가 미흡했다는 내용의 공문을 보냈다"고 말했다.

[스트레이트뉴스 함영원 기자]