플랫폼·금융·공공기관 등 고위험군 4대 분야 집중 점검
위험 수준별 차등 관리…과징금 감경 등 인센티브도 개편
개인정보 유출 사고 건수와 규모가 5년 새 각각 2배, 8.6배로 급증하면서 정부가 사후 제재 중심의 관리 방식을 사전 예방 체계로 대대적으로 전환하기로 했다.
개인정보보호위원회는 22일 구윤철 부총리 겸 재정경제부 장관 주재로 열린 '비상경제본부 회의 겸 경제관계장관회의'에서 이 같은 내용을 담은 '예방 중심 개인정보 관리체계 전환 계획'을 보고했다. 개보위에 따르면 개인정보 유출 신고 건수는 2020년 219건에서 지난해 447건으로 두 배 늘었고, 유출 규모는 같은 기간 1천200만3천 건에서 1억355만4천600건으로 8.6배 폭증했다. 유출 분야도 정보·통신(28%), 유통·물류(20%), 제조(10%), 보건·복지(8%) 등 전 산업으로 확산됐다.
이번 계획의 핵심은 위험 수준에 따라 개인정보 처리자를 고·중·저 3개 군으로 나눠 차등 관리하는 방식이다. 100만 명 이상의 개인정보를 처리하거나 고유식별정보·민감정보를 다루는 고위험군에는 정기·수시 점검을 실시하고, 미흡 사항은 최장 2년간 이행 여부를 지속 추적 관리한다. 올해 고위험군 집중 점검 대상은 플랫폼(정보통신), 은행·보험사·카드사·증권사(금융), 공공기관, 요양병원(복지) 4개 분야다. 중위험군은 해당 부처와 개인정보위가 합동 점검하고, 1만 명 이하 소규모 처리자 등 저위험군은 자율 점검 도구를 지원하는 방식으로 운영한다.
기업의 자발적 보안 투자를 끌어내기 위한 인센티브 체계도 손질된다. 설계 단계부터 개인정보 침해를 예방하는 '개인정보 보호 중심 설계(PbD)' 원칙을 개인정보보호법에 명문화하고, 위험 감소를 위한 투자 노력이 확인될 경우 과징금을 감경하는 체계를 오는 9월까지 정비할 계획이다. 중소·영세 사업자의 경미한 법 위반은 기술 지원 등으로 위반 행위를 시정하면 처분을 경감하도록 시행령도 개정한다.
최고개인정보보호책임자(CPO)를 중심으로 한 책임 경영 체계도 강화된다. 최고경영자(CEO)에게는 보호 인력·예산 지원 등 실효적 관리 의무를 부과하고, CPO에게는 이사회 보고와 지정 신고 의무를 부여한다. 관련 법 개정안은 올해 9월까지 마련할 방침이다.
공공부문 현황도 심각한 것으로 나타났다. 올해 실시한 공공분야 개인정보처리시스템 387개 대상 긴급 실태점검 결과 최신 보안 패치 적용 비율은 7%, 보안 취약점 전수 점검 비율은 17%에 불과했다. 기관당 전담 인력 수요는 3.2명이지만 현재 전담 인력은 0.7명에 그쳤다. 653개 공공기관을 전수 조사한 결과 올해부터 내년까지 필요한 개인정보보호 예산은 2천35억 원으로 집계됐다.
개인정보 보호 연구개발(R&D)도 확대한다. 올해 개인정보 보호 R&D 규모는 132억 원으로 정보보호 분야(1천191억 원)의 11% 수준에 불과하다. 개인정보위는 인공지능(AI) 환경에서 유출·불법 유통 등을 사전 차단하는 예방형 기술 개발 로드맵을 올해 안에 마련하고 R&D를 본격 추진할 계획이다.
대학 내 개인정보 보호 학과 개설 등 전문 인력 양성 기반도 구축한다. 2029년까지 개인정보 보호 공인 민간자격 또는 국가자격 제도를 도입하는 방안도 추진된다.
아동·청소년 개인정보 보호를 위한 법제 개선도 함께 이뤄진다. 현행 만 14세 이상에 적용되는 보호 대상을 만 19세 미만으로 확대하고, 디지털 잊힐 권리를 법제화하는 방향으로 개인정보보호법을 개정할 예정이다.
개보위는 이번 계획의 비전으로 '개인정보 보호가 기본이 되는 안심 사회(Privacy by Default)' 구현을 제시하고, 위험 기반 예방 관리체계 구축, 자발적 보호 투자 유도, 보호 생태계 활성화, 신뢰 문화 조성 등 4대 전략을 단계적으로 추진하기로 했다.
