개인정보위·한국개인정보보호책임자협의회 공동주관 '개인정보 정책포럼' 개최
개인정보 안전관리 체계 강화 방안 및 개인정보 침해사고 대응 방향 등 논의
![[서울=뉴시스] 김명원 기자 = 고학수 개인정보보호위원회(개인정보위) 위원장이 20일 서울 종로구 정부서울청사에서 마이데이터 선도서비스 시연회에 참석해 인사말을 하고 있다. 2025.05.20. kmx1105@newsis.com](https://img1.newsis.com/2025/05/20/NISI20250520_0020817221_web.jpg?rnd=20250520170000)
[서울=뉴시스] 김명원 기자 = 고학수 개인정보보호위원회(개인정보위) 위원장이 20일 서울 종로구 정부서울청사에서 마이데이터 선도서비스 시연회에 참석해 인사말을 하고 있다. 2025.05.20. [email protected]
[서울=뉴시스]송혜리 기자 = "SK텔레콤 개인정보 유출사고는 인공지능(AI) 심화시대 국민신뢰를 위협하는 매우 중대한 사건입니다, 위원회는 철저하고 엄정한 조사를 통해 사고원인을 면밀히 규명하고 법 위반사항에 대해서는 강력하게 제재할 것"입니다.
고학수 개인정보보호위원회 위원장은 21일 개인정보보호책임자(CPO)협의회와 공동으로 서울 중구 은행회관에서 개최한 '개인정보 정책포럼'에서 이같이 강조했다.
이번 포럼은 SK텔레콤 고객정보 유출사고 등 최근 잇따라 발생하는 대규모 개인정보 유출사고로 국민 우려가 커지는 가운데, 정부와 주요 산업별 CPO들이 모여 개인정보를 안전하게 관리하기 위한 방안과 해법을 모색하기 위해 마련했다. 현장에는 산·학·관 개인정보 관계자와 일반국민 200여명이 참석했다.
고학수 위원장은 개회사를 통해 "위원회는 SK텔레콤 고객정보 유출사고를 독립적으로 엄정하게 조사하고 있으며 조속한 마무리를 위해 최선을 다하고 있다"면서 "사고원인을 면밀히 규명하고 법 위반사항에 대해서는 엄정하게 제재하는 것과 동시에 상시적 예방 체계를 강화하기 위한 여러 정책을 신속히 마련해 나갈 것"이라고 강조했다.
고 위원장은 이번 사고를 계기로 공공·민간 모두 개인정보 처리 전 과정의 문제점을 점검·분석하고 개선 대책을 마련해야 한다고 강조했다. 특히 전사적 개인정보보호를 위한 '상시적·지속적 위험관리 및 내부통제 체계'구체화와 이를 위한 '투자 강화·CPO 위상 강화'의 필요성을 역설했다.
고 위원장은 "개인정보보호를 위한 인적·물적 투자를 비용이 아닌 핵심투자로 인식하고, 조직 내 거버넌스 차원에서 CPO의 역할과 책임을 확고히 하는 시스템 정착이 중요하다"고 말했다.
사고예방·피해 최소화 위해 CPO 주도로 '지속적 위험관리·내부통제 체계 구체화'
먼저, 강대현 개인정보위 조사총괄과장이 유출사고 현황과 신속 대응체계 구축을 위한 정책방향에 대해 설명했다. 올해 개인정보위는 온라인 개인정보 유·노출 탐지 범위를 다크웹으로 확대해 '신속 공유 확인·유출경로 차단'을 도모한다. 아울러 올해 말까지 '포렌식 센터'를 설치해 사고 초동대응을 강화할 방침이다.
강대현 과장은 "최근 3년간 유출 건수는 약 300건 내외이나, 올해는 신고 건수 대비 개인정보 유출 규모가 SK텔레콤 사건 등으로 '위기상태' 규모로 급증했다"고 지적했다. 이어 "작은 실수, 관리 소홀이 결국 큰 개인정보 피해로 이어지는 것을 확인했다"면서 "CPO 주도로 개인정보 전 주기에 대한 철저한 점검과 관리체계 전환이 필요한 시점"이라고 말했다.
고낙준 개인정보위 신기술개인정보과장은 개인정보 안전관리를 위한 개인정보 처리 전반에 걸친 취약점 점검, 암호화 정보 관리 강화 등 즉각적·기술적 조치사항을 발표했다.
고낙준 과장은 "법정 의무 암호화 대상 외 개인정보에도 암호화를 적용한 경우, 유출 시 과징금 감경 등 인센티브를 제공하는 방안을 고려 중"이라며 "아울러 보안인증인 ISMP-P실효성 강화를 위해 개인정보 처리 규모와 중요기반 시설 해당여부 등을 고려, 의무화를 검토하고 있다"고 말했다.
아울러 "개인정보보호 인력, 예산의 구체적 기준을 마련해 나갈 것"이라며 "인력에선 최소 1명 이상 개인정보보호 전담인력 배치(CPO제외), 전체 IT인력의 최소 10% 개인정보보호 담당인력 배정 등을 검토 중"이라고 말했다. 또 "2027년까지는 전체 IT예산의 최소 10%, 2030년까지는 15%(정보보호 예산 포함)로 확대할 수 있도록 논의를 진행 중"이라고 말했다. 이에 더해 "CPO의 실질적 권한 강화를 위해 'CPO 지정신고제' 도입과 임기보장 등 'CPO 직무여건 보장' 방안을 검토하고 있다"고 말했다.
개인정보위 발표에 이어 김경하 제이앤시큐리티 대표가 기술적 보호조치 적용 사례, 김진환 법률사무소 웨일앤썬 변호사가 징벌적 손해배상 도입 필요성 등 정보주체 피해구제 제도의 실질화에 대해 발표했다. 또 윤수영 협의회 사무국장은 보호책임자 현황 실태조사를 통한 보호책임자 권한 강화와, 개인정보보호 분야 인력·예산 확대 및 정부의 정책적 지원 필요성을 설명했다.
개인정보위는 "앞으로도 국민의 개인정보 보호체계를 더욱 공고히 하고, 개인정보와 관련해 대두하는 정책 현안에 기민하게 대응하는 개인정보 컨트롤타워로 자리매김할 수 있도록 협의회와 함께 적극 노력해 나갈 계획"이라고 밝혔다.
◎공감언론 뉴시스 [email protected]
