[지디넷코리아]
2014년 1월 초, 신용카드 3사에서 1억 건이 넘는 개인정보가 유출됐다고 창원지검에서 발표하면서, 우리 사회는 엄청난 소용돌이에 빠져들었다. 신용카드 복제 등 개인정보 유출에 따른 2차 피해에 대한 불안감이 컸다. 카드를 재발급 받기 위해 도심의 한 카드사 서비스센터에 몰려든 인파 사진(아래)은 10여 년이 지난 지금도 당시 상황을 생생하게 그려 준다.
같은 해 5월 정부와 국회는 관련 규제를 대폭 강화하는 내용으로 정보통신망법을 발빠르게 개정했다. 2014년 5월 정보통신망법의 주요 개정사항은 다음과 같다.
2020년 2월 ‘데이터 3법’ 개정으로 정보통신망법의 개인정보 보호 조문이 대부분 개인정보보호법으로 통합되기 이전에는 대량 개인정보를 처리하는 기업은 주로 ‘정보통신서비스 제공자’(온라인 영리사업자)여서 정보통신망법이 적용됐으므로, 법 개정의 영향은 상당히 컸다. 그럼에도 1월 초에 카드 3사의 개인정보 유출 사고가 발표됐는데, 이 많은 내용이 4달 만인 5월 초에 국회 본회의를 통과한 것을 보면, 당시 분위기를 어렵지 않게 짐작할 수 있다.
(개인정보보호법은 2014년 3월 개정 때 주민등록번호의 암호화, 다음 해 5월에 개인정보 보호 인증, 징벌적 손해배상제 및 법정손해배상제 등 ‘개인정보보호 정상화 대책’(안전행정부, 2014.7.)의 주요 내용을 포함하여 개정되었고, 사고 당시 ‘솜방망이’ 제재 규정으로 비판받았던 신용정보법 역시 2015년 3월에야 비로소 개인신용정보의 보호와 유출 시 과징금 부과 등 ‘금융분야 개인정보 유출 재발방지 종합대책’(관계부처 합동, 2014.3.)의 주요 내용이 반영되어 대폭 개정되었다.)
위의 표에서 빨간색으로 표시한 내용은 당시에 기업에 대한 제재를 강화할 목적으로 개정 또는 신설되었으나, 지금은 없어진 내용이다. 세월이 많이 흐르고, 환경이나 상황이 바뀌어서 그렇다고 볼 수도 있지만, 무리하게 보이는 개정사항도 있다.
12년이나 지난 일을 굳이 다시 끄집어 내는 것은 지난해 이뤄지는 일들을 보면서 2014년이 생각났기 때문이다. 2025년에는 국내에서 내로라하는 이동통신사, 온라인서점 등이 해킹으로 대량의 개인정보가 유출되는 사고가 발생하여 우리 사회에 큰 충격을 줬고, 범정부TF가 같은 해 10월, 제시한 대책을 반영한 개인정보보호법과 정보통신망법이 올해 3월에 국회를 통과했다.
이와 관련해 올해 3월에 개정된 개인정보보호법의 주요 내용은 다음과 같다.
우선 개인정보 보호 거버넌스를 강화했다는 점이 눈에 띈다. 선언적이긴 하지만 개인정보 보호의 최종 책임자로 CEO 명시, 이사회 결의를 통한 개인정보보호책임자(CPO)의 지정 및 신고제가 이에 해당한다. 거버넌스의 취지는 국민(정보주체)으로부터 개인정보를 제공받아 사업에 활용하는 개인정보처리자가 기업 차원에서 개인정보를 안전하게 관리하라는 것이다. 결국 CEO가 책임을 지고, 예산과 조직, 인력을 투입하고, 역량 있는 CPO를 선임하여 힘을 실어주라는 게 핵심이다.
CPO 신고제는 목적과 그에 따른 조치를 명확히 할 필요가 있어 보인다. 비슷한 정보통신망법의 CISO 지정·신고제는 2014년 1월 카드 3사 개인정보 유출 사고의 대응 조치로 시행됐는데, 실무적으로는 한국인터넷진흥원 등에서 발견하거나 신고받은 침해사고에 대해 정보 공유 및 신속 대응을 할 수 있는 기업 창구를 확보한다는 의미가 있었다.
개인정보위가 발간한 ‘2025 개인정보보호 및 활용조사 보고서'(2026.4.)에 따르면, 민간기업에서 CISO가 CPO를 겸직하는 경우가 종사자 규모 50~299인(16,558건)의 52.7%, 300인 이상(3793건)의 35.7%에 달한다. 잘못하면 기업에서 임원 한 사람이 비슷한 행사나 교육, 관리에 해당하는 이중 규제가 될 우려가 있다.
아무래도 기업에서 관심이 가장 큰 사항은, 과징금 상한액의 대폭 상향하는 요건이 신설된 대목이다. 이번 개정에서 무려 전체 매출액의 10% 이하를 과징금으로 부과할 수 있는 요건이 신설됐다. 법 제64조의2(과징금의 부과) 제1항에서 규정한 과징금 부과 요건은 ▲개인정보 처리의 적법성 위반 ▲만 14세 미만 아동의 개인정보 처리 및 민감정보·고유식별정보·주민등록번호 처리의 적법성 위반 ▲위탁자가 관리·감독·교육을 소홀히 하여 수탁자가 개인정보보호법을 위반 ▲개인정보 유출 등 사고 발생 시 안전성 확보조치의 미흡 등으로 상당히 많다.
이때 고의 또는 중대한 과실로 이중 어느 하나에 해당하는 위반행위를 하고 정보주체의 피해 규모가 1천만 명 이상인 경우 등 <표 2>에 적시한 3가지를 전체 매출액의 10% 이하 과징금 부과 요건으로 신설하였다. 일정 수준 이상의 우량기업이라 할 수 있는 국내 코스피 상장사의 2025년 평균 영업이익률이 7.94%라고 하니, 과징금 규모가 어떤 수준인지 어렵지 않게 알 수 있다. 과징금 상한액이 전체 매출액의 3%로 늘어난 게 2023년 3월(2023년 9월 시행)이라 실제 적용된 적도 많지 않은 상황에서 현 규정에서 어떤 문제점을 발견했길래 훨씬 과중한 요건을 급박하게 만들었는지 궁금하기도 하다. (다음 칼럼에 계속)
◆강은성 교수는…
국내 최대 보안기업 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 서울여자대학교 지능정보보호학부 교수로 있다. 저서로 ‘IT시큐리티(한울, 2009)’와 ‘팀장부터 CEO까지 알아야 할 기업 정보보안 가이드(한빛미디어, 2022)’ 등이 있다.