최근 SKT 고객정보 유출 사고는 단순히 개별 기업의 보안 실패를 넘어, 우리 사회 전반의 개인정보 보호에 대한 인식을 근본적으로 재고하게 만드는 계기가 되고 있다. 급속도로 발전하는 디지털 환경 속에서 방대한 양의 개인정보 처리가 수반되는 전 산업 분야에 걸쳐, 개인정보 보호를 ‘비용’이 아닌 ‘전략적 투자이자 기본적 책무’로 전환해야 한다는 사회적 요구가 더욱 거세지고 있다. 이러한 거시적 흐름 속에서 개인정보보호위원회(이하 ‘개인정보위’)가 마련한 「개인정보 안전관리 체계 강화 방안」은 주목할 만한 실천 사례로 평가된다.
이번 강화 방안은 기존의 사후적 제재 중심에서 벗어나, 기업이 선제적이고 적극적인 개인정보 보호 활동을 수행하도록 유도하는 인센티브 중심 체계 구축을 핵심으로 한다. 그동안 많은 기업에서 개인정보 보호를 법적 의무 사항만 최소한으로 이행하는 수동적인 관행에 머물렀던 점을 개선하여, 사전 예방 중심의 점검과 투자를 강화하는 방향으로 전환점을 마련했다. 이는 특히 정보기술 투자액 대비 정보보호 부분 투자 비율이 미국 등 선진국에 비해 낮은 한국의 현실을 고려할 때, 기업의 인식 개선과 적극적인 자원 투입을 촉구하는 중요한 발걸음이다.
개인정보위는 이번 방안을 통해 대규모 개인정보 유출 사고의 재발을 막기 위한 다각적인 개선책을 제시했다. 첫째, 사고 예방 및 선제적 제도 개선 측면에서는 주요 개인정보처리시스템의 공격표면 관리를 강화하고, 주요 정보 암호화 적용을 확대하는 등의 기술적 조치를 정례화한다. 또한, 선제적 보호 조치를 한 기업에 대한 인센티브 제공 체계를 정비하고, 유출된 개인정보의 불법 유통 탐지 및 2차 피해 예방 지원을 강화한다. 더불어, 개인정보보호 관리체계(ISMS-P) 인증 체계를 고도화하고, 핵심 공공시스템 및 이동통신 서비스 대상 의무화 등 제도 개선을 추진할 계획이다.
둘째, 상시적인 내부통제 강화 방안으로는 개인정보 보호 분야의 인력 및 예산 투자를 확대하기 위한 구체적 기준을 제시하고, 최고경영자(CEO)의 책임을 명확히 하며 개인정보보호책임자(CPO)의 역할과 권한을 강화한다. 개인정보 영향평가를 민간에서도 활성화하고, 대규모 수탁사 및 솔루션 공급자 등 법적 사각지대 관리를 강화하며 ‘개인정보 안심설계 인증제’ 도입으로 중소 사업자의 보안 역량 제고를 지원한다.
셋째, 엄정한 처분 및 권리구제 실질화를 위해서는 사고 반복 기업에 대한 과징금 가중 등 제재 처분의 실효성을 제고하고, 유출 가능성이 있는 모든 사람에 대한 통지를 확대하여 추가 피해 확산을 방지한다. 또한, 과징금을 실제 피해자의 구제에 활용하는 방안을 검토하고, ‘개인정보 옴부즈만’ 설치, 전문인력 양성, 보험 상품 개발 유도 등을 통해 정보주체의 권리구제 기반을 강화한다.
이번 SKT 고객정보 유출 사고를 계기로 마련된 「개인정보 안전관리 체계 강화 방안」은 개인정보 보호를 둘러싼 산업계 전반의 인식과 제도를 한 단계 발전시키는 중요한 전환점이 될 것으로 전망된다. 고학수 개인정보위 위원장의 말처럼, 기업들이 개인정보 보호를 단순한 ‘비용’이 아닌 ‘고객 신뢰 확보를 위한 기본적 책무이자 전략적 투자’로 인식하고 실천할 때, 비로소 국민적 신뢰가 확산될 수 있을 것이다. 이러한 노력은 동종 업계의 타 기업들에게도 긍정적인 영향을 미치며, 한국이 개인정보 보호 분야에서 선도적인 역할을 수행하는 데 기여할 것으로 기대된다.
