안녕하십니까? 개인정보보호위원장 송경희입니다.
바쁘신 중에도 개인정보정책에 많은 관심을 가져주시고 또 오늘 브리핑에 참석해 주신 기자 여러분들, 감사드립니다.
오늘 대통령 주재 국무회의에서 보고드린 '예방 중심 개인정보 관리체계로의 전환 계획'에 대해서 설명드리겠습니다.
이번 계획은 AI 디지털 전환과 플랫폼 경제 확산으로 개인정보 활용이 전 분야에서 빠르게 늘어나고 있는 상황에서 사회 전반의 개인정보 보호 수준을 높이고 대형화되는 유출사고에 보다 실효적으로 대응하기 위해 마련하였습니다.
중대한 위반행위는 끝까지 엄정한 책임을 묻는 동시에 실질적인 위험 관리와 예방 투자가 이루어지도록 사전예방 중심체계로 전환하겠습니다.
첫째, 중대하고 반복적인 위반행위는 제재를 강화하겠습니다.
아직도 현장에서는 '개인정보 보호를 위한 투자비용보다 사고 후에 부담하는 비용이 더 싸다.'라는 잘못된 인식이 남아있는 것도 사실입니다. 이제는 그런 계산이 통하지 않도록 하겠습니다.
중대·반복사고에 대해서는 매출액의 최대 10%까지 징벌적 과징금을 부과합니다. 관련 법률 개정이 완료되어 올해 9월부터 시행될 예정입니다. 개정법 시행 이후에 발생하는 사고부터 적용됩니다.
과징금 산정 시에 기준이 되는 매출액도 지금까지는 3년 평균 매출액을 적용했습니다. 앞으로는 3년 평균 매출액과 직전 연도 매출액 중 더 높은 금액을 적용합니다.
또한, 신속한 조사·처분을 위해 조사에 협조하지 않는 사업자에게 증거 보전 명령을 하고 이행강제금을 부과하는 제도를 도입할 계획입니다. 아울러, 증거를 숨기거나 폐기하는 행위에 대해서는 제재를 강화하고 신고포상금 제도를 도입하여 법 집행력을 높이겠습니다.
다만, 영세기업의 경미한 법 위반에 대해서는 시정 기회를 부여하는 것과 같이 재발 방지와 개선에 초점을 두되, 위반을 반복할 경우에는 엄정하게 대응하겠습니다.
둘째, 기업의 자발적 보호 투자를 확대하고 위험 기반 개인정보 관리체계를 구축하겠습니다.
법정 최소 기준을 넘어서는 선제적인 보호조치를 하거나 실효적인 관리체계를 운영하는지 여부를 종합적으로 평가해 과징금 감경 등 확실한 인센티브를 부여하겠습니다.
아울러, 경영진의 개인정보 보호 책임이 충실히 이행되도록 기업의 개인정보 보호활동 공개를 유도하겠습니다. 개인정보 보호가 규제 준수가 머무르지 않고 신뢰와 경쟁력 확보를 위한 기본 투자로 인식되도록 유도하겠습니다.
또한, 사각지대 없는 개인정보 보호 안전망을 위해 사고 위험이 큰 분야부터 예방을 강화하는 위험 기반 관리체계를 구축하겠습니다.
그간 개인정보 처리 규모나 업종에 관계없이 일률적인 기준이 적용돼 왔습니다. 앞으로는 고위험 분야는 충분한 안전조치가 이루어지지 않았던 그런 측면을 개선하고, 또 영세사업자에게 부담이 과도한 측면 역시 개선하도록 하겠습니다.
앞으로는 위험도에 따라 관리 수준을 차등화하여 387개 주요 공공시스템, 100만 명 이상 개인정보를 처리하는 통신·복지 등 고위험 분야는 개인정보위가 직접 점검·관리하겠습니다.
대규모로 개인정보를 보관하고 있는 클라우드 사업자, 전문수탁자, 시스템 공급사도 포함하여 공급망 전반으로 점검을 확대할 계획입니다.
현재 개인정보위는 상조, 고객상담센터 분야를 점검 중이며, 다음 주부터는 교육부와 합동으로 에듀테크 분야도 점검에 착수할 예정입니다. 아동·청소년이 주로 이용하고 있기 때문에 개보위도 많은 관심을 갖고 철저하게 점검할 예정입니다.
갈수록 개인정보 처리가 복잡해짐에 따라서 서비스가 출시된 이후에는 침해를 인지하기도, 막기도 쉽지 않습니다. 따라서 시스템을 처음 설계할 때부터 개인정보 보호 요소를 반영하는 PbD, 즉 Privacy by Design 설계 원칙이 국제적인 추세입니다.
개인정보 보호 관리체계 인증 제도와 개인정보 영향평가 제도를 개선해서 개인정보 중심 설계 원칙이 현장에서 실질적으로 구현되도록 하겠습니다.
개인정보위는 지난 2월에 공공부문 현황 조사를 실시한 바 있습니다. 조사 결과, 공공부문의 개인정보 보호인력과 예산은 상당히 부족한 수준이었습니다.
전체적으로 개인정보 보호를 전담하는 인력은 기관당 0.7명이고, 기초지방정부는 특히 보호 전담인력이 0.3명밖에 되지 않는 것으로 확인되었습니다.
관계부처와 협력하여 공공부문의 개인정보 보호 전담인력과 재원이 확보될 수 있도록 지원하고, 범부처, 민관 협력을 통해 사회 전반의 보호 역량을 높여 가겠습니다. 개인정보 보호인력의 처우 개선도 함께 추진하겠습니다.
아울러, 현장에서 문제를 해결할 수 있는 개인정보 보호 전문인력을 권역별로, 지역별로 양성하고, 정책 담당자, 개발자, 사고대응조직 등 대상별 직무를 분석해서 실무교육 프로그램을 새롭게 설계해 운영하겠습니다.
마지막으로, 개인정보 유출로 피해를 입은 국민들의 눈물을 닦아드리고자 하는 대책입니다. 그간 유출 사고가 발생할 때마다 국민들께서 내 개인정보가 털렸는데 정작 내가 받은 피해는 누가 책임지나 하는 답답함을 많이 느끼실 수 있으셨을 겁니다. 유출 사고로 피해를 입은 사람이 보다 신속하고 실질적으로 구제받을 수 있도록 피해 구제와 회복 지원 제도를 한층 강화하겠습니다.
유출 사고 시 기업과 기관의 책임을 원칙으로 하고, 전반적인 입증 책임을 기업과 기관이 지도록 법을 개정하여 법정 손해배상 제도를 활성화하겠습니다.
또한, 다크 패턴과 같이 이용자를 속여 개인정보 수정이나 동의 철회, 탈퇴를 어렵게 하는 행태를 집중 점검합니다.
유출된 개인정보가 SNS나 웹상에 불법적으로 유통되는 경우 신속하게 탐지하여 삭제하고 수사기관과 협력하여 개인정보 불법유포자와 이용자는 끝까지 추적하여 엄정 대응할 방침입니다.
존경하는 국민 여러분 그리고 기자 여러분, 개인정보 유출은 단 한 번의 사고로도 개인의 삶을 파괴하고 국가의 신뢰를 무너뜨릴 수 있습니다. 한 번 유출 사고가 발생하면 피해를 온전히 되돌리기 어렵고 회복에도 긴 시간이 걸립니다. 그러나 사전에 위험을 관리하면 사고를 줄일 수 있고, 사고가 혹시 일어나더라도 피해 규모를 크게 줄일 수 있습니다.
개인정보위는 앞으로 엄정한 사후 책임과 맞게 사전 예방이 잘 작동할 수 있는 체제를 구축하여 국민의 정보를 보다 안전하게 지키고 국민이 신뢰할 수 있는 개인정보 활용 환경을 만들어 가겠습니다.
예방 중심 개인정보 관리체계의 세부 방안들은 다음 주 경제관계장관회의에 상정하여 논의한 후 발표하겠습니다.
감사합니다.
[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 두 가지 질문이 있는데요. 과징금 산정기준이 강화된 시행령 이제 19일부터 시행된다고 하셨는데 이미 조사 중이거나 처분 예정인 사건에도 강화된 규정이 적용되는지, 아니면 이후 위반행위부터 적용되는지 궁금하고요.
두 번째는 보도자료에 하반기부터 1,700개 고위험시스템을 정부가 직접 점검한다고 말씀하셨는데 1,700개를 몇 년에 걸쳐 순환 점검을 하시는 건지, 아니면 구체적인 로드맵이 있으신 건지, 또 인력이나 아니면 외부 위탁기관을 통해서 진행하시는 건지도 궁금합니다.
<답변> 시행령에 대해서는요, 시행령 기준은 이제 곧, 오늘 국무회의에서 통과가 되었고 또 공포가 될 예정입니다. 그 이후에 발생하는 사고에 적용된다고 보시면 되겠고요.
그리고 두 번째 질문에 대해서는 지금 모든 공공기관에 대한 정보시스템을 아무래도 한꺼번에 다 점검하기가 어렵습니다. 그래서 전체적인 개인정보시스템의 규모, 또 이용자 수, 또 민감정보의 포함 정도, 또 그 시스템에 접속하는 접속자의 수, 여러 가지 우리가 그 기준을 갖고 있습니다. 그 기준에 따라서 우선적으로 할 시스템을 개보위가 집중 관리할 생각이고요.
특히 위험이 높다고 생각하는 분야는 개보위가 직접 많이 관리를 할 겁니다. 그리고 중점... 중간 정도 위험 수준이다, 라고 하는 그런 시스템에 대해서는 관계부처와 협의해서 실질적으로 관계부처의 여러 가지 점검 위주로 할 생각이고요. 또 저위험 분야들은 스스로 좀 할 수 있게 우리가 점검도구 체크리스트 배포 이런 것들을 함께 지원할 예정입니다.
그래도 어디선가 문제가 생기고 있거나 또 여러 가지 사회적 이슈가 될 수 있다고 미리 좀 저희가 파악되는 경우에는 직접 점검에 나설 계획도 같이 갖고 있습니다.
<질문> 질문 기회 주셔서 감사합니다. 저 두 가지 질문 있는데요. 먼저 과징금은 숫자 10%라는 구체적인 숫자가 있는데 이행강제금 규모가 얼마나 될지, 그리고 또 인센티브는 추가 감경 외에 또 구체적으로 어떤 인센티브 제공하실 예정인지 궁금하고요.
그리고 두 번째 질문은 사실 인력 문제 아까 말씀해 주셨는데 결국에 재정당국과 협의 걸쳐서 예산 확보가 굉장히 중요한 사안일 거라고 생각이 들어요. 그래서 인력이나 예산 확보 구체적으로 얼마나 목표하시는지, 2027년도에는 얼마 정도 더 필요하다, 이런 구체적으로 위원장님께서 생각하신 숫자가 있는지 궁금합니다.
<답변> 질문 감사합니다. 첫 번째 질문에 대해서는 과징금이 징벌적 과징금이 10%잖아요. 근데 첫 번째, 약간 좀 분명하게 말씀드리고 싶은 게 모든 경우에 10%가 아닙니다. 말씀드린 것처럼 아주 일정한 경우에, 뭐 3년 안에 반복적으로 이렇게 중대한 과실에 의해서 사고가 일어난다든지, 이용자 규모가 1,000만 명 이상인데 그 경우에 사고가, 그 이상의 사고가 일어난다든지, 시정명령을 내렸는데도 그걸 개선하지 않아서 사고가 일어난 경우에 한해서 그런 징벌적 과징금을 부과하게 된다는 거고요. 그 외의 경우에는 매출액의 3%라는 지금의 과징금 체계가 유지가 됩니다.
그리고 어떤 경우에 인센티브를 부여하냐, 라고 하면 보통 업종마다 필요로 하는 투자 규모가 다들 다 다릅니다, 업종의 성격에 따라서. 그러면 업종에서 평균 투자금액을 상회하는 투자를 했을 경우라든지, 또 실질적으로 법에서 요구하는 최소한 기준보다 더 많은 투자를 했을 경우, 예를 들어서 우리 개보법에서 요구하는 안전성 확보 조치기준에 따른 투자는 사실상은 좀 최소한의 투자라고 할 수 있습니다. 안전에 필요한 투자는 최소한 이 정도는 해야 된다, 라는 기준을 개보법이 쭉 시행령과 고시기준까지 정해놓고 있는 거기 때문에 그걸 상회하는 투자를 했을 경우에는 그걸 또 충분히 감안하겠다는 것들입니다.
그래서 실질적인 위험 관리를 열심히 한 그런 기업들에 대해서는 혹시 그렇게 열심히 했는데도 불가피하게 사고가 났다 하더라도 그런 인센티브를 적용하겠다, 그러니 열심히 예방 투자를 해주시라, 라는 게 저희가 시장에 보내는 메시지입니다.
그리고 두 번째, 인력 문제에 대해서는 이번에 공공기관을 다 이렇게 조사한 거고요. 특별히 특히나 많은 시스템을 갖고 있는 중앙정부 소속기관, 산하기관, 지자체까지 이렇게 쭉 조사를 했는데요. 역시 굉장히 인력도 부족하고 또 예산도 부족했습니다.
근데 거기서 원하는 인력까지 다 이렇게 보면 전체 평균으로는 한 3.3명 정도 됩니다. 그렇지만 그게 평균적으로 말씀드리기가 어려운 게 부처마다 성격이 다르고 또 어떤 시스템을 갖고 있냐에 따라서 필요인력이 다 다르기 때문에 그 부처나 기관에서 원하는 인력이 적정 인력인지에 대해서는 별도의 검증이 필요합니다.
그래서 이런 것 관련해서 저희가 조사한 내용을 행안부하고 인력 관해서는 협의를 하고 있고, 또 필요 예산 금액, 예를 들어 보완 설루션을 적용한다든지, 취약점 점검을 위한 여러 가지 예산, 또 모의 투자... 아니, 모의... 모의 해킹을 하기 위한 투자 이런 것들은 비용이 꽤 들어가기 때문에 총 어떤 정도의 금액이 필요한지에 대해서 역시 또 그거는 기획예산처와 협의를 하고 있다는 말씀드립니다.
<질문> 지금 징벌적 과징금 특례 도입은 그 시행령은 9월 11일부터 하고, 그다음에 3년 평균 매출액 관련된 매출액 산정기준 강화는 5월 19일부터 시행할 예정인데요. 그러면 사실 지금 국민적인 분노가 높은 쿠팡 같은 경우에는 이걸 기존에 있는 법을 적용하실 것인지, 아니면 예외적인 조항을 둬서 지금 신설된 조항을, 그러니까 법 개정한 걸 적용할 것인지 그게 궁금합니다.
<답변> 지금 징벌적 과징금 9월 11일부터 시작하는 것 그리고 시행령 개정이죠. 3년 매출액을, 지금 직전 연도와 3년 매출을 비교해서 높은 걸 적용하는 거는 5월 19일부터 적용인데, 이거는 이 이후에 일어난 사건부터 적용된다고 제가 말씀을 드렸고요. 어떤 법적인 우리 안정성이라든지 여러 가지를 고려해서 그렇게 시행하는 것이 맞고, 또 다른 법에 의해서도 그렇게 적용되는 것들이 기본 원칙으로 되어 있다고 보시면 되겠습니다.
<질문> 쿠팡 이야기가 나와서 그런데, 쿠팡을 비롯해서 지난해 굵직한 유출 사고들에 대한 처분 결과는 언제쯤 발표할 것으로 예상되고 있는지 현황을 공유해 주시면 좋을 것 같고요.
그리고 오늘 자료에도 있다시피 미토스와 같은 AI 모델이 상용화되면 어쨌든 사전 예방도 중요하지만 뚫려도 얼마나 잘 대응하느냐, 이게 더 중요해질 것이라고 보는 현장의 목소리도 있는 것 같습니다. 그래서 이런 유출 피해 최소화같이 사후 대응에 대한 실질적 니즈가 커지는 상황 속에서 개보위의 생각이 어떤지 궁금하고요. 추후 제도적 변화 혹은 다변화 이런 것 생각 중이신지도 궁금합니다.
<답변> 질문 답변드리겠습니다. 첫 번째 질문, 쿠팡에 대한 처분을 언제 내릴 거냐에 대해서는 아마 기자 여러분들도 아셨겠지만 저희 개보위가 쿠팡에 대한 조사를 다 마무리를 했습니다. 그래서 그 조사 결과에 대해서 사전 통지를 행정절차법에 따라 상대 사업자한테 보내게 돼 있기 때문에 사전 통지를 보냈고, 그 통지를 보내고 나서 사업자의 의견 제출을 받고 있습니다. 그래서 지금 사업자가 제출한 의견을 받아서 검토 중이고 검토가 완료되면 우리 정보통신... 아니, 우리 개보위의 전체회의에서 의결을 하도록 할 겁니다. 그래서 지금 이 단계가 빠르게 진행되고 있다는 말씀을 드리고요.
쿠팡에 대해서는 아까 기존의 징벌적 과징금을 적용할 수 있느냐, 라고 물으셨지만 이게 법이라는 게 감정만으로 되는 일은 아니기 때문에 철저하게 법 원칙에 따라서 이루어질 거고, 또 잘못한 어떤 책임이 있다면 책임에 상응하는 그런 처분을 내리기 위해서 개보위는 최선을 다하고 있습니다.
두 번째는 미토스도 있고 다양한 AI 공격이 점점 빨라지고 첨예화돼 가는데 어떤 사전예방체계를 갖출 수 있겠냐, 그런 말씀이신 것 같아요, 그렇죠? 맞습니다. 앞으로의 공격은 AI가 더욱더 첨예하게 할 수 있다는 그런 두려움과 우려들이 많이 나타나고 있는 상황입니다.
특히 미토스 이후에 그런 얘기들이 많이 나오고 있는데 개보위도 여기에 관해서 기술적 검토라든지 법률적 검토, 우리가 어떤 대책을 할 수 있을지에 대해서 계속 토론하면서 준비를 해나가고 있습니다.
그런데 사전예방체계라고 하는 건 어떤 의미냐면 미리 개인정보 관리체계를 갖추고 거기에 맞는 여러 가지 기술적 설루션을 갖추어서 점검을 강화하는 체제가 되어 있다고 하면 혹시 어떤 공격이 있어서 그게 뚫리더라도 굉장히 빠르게 감지를 할 수 있게 됩니다.
그리고 개인정보 안전관리체계라는 건 접근 통제, 권한 관리 같은 것들이 이루어지는 체계이기 때문에 어떤 성벽을 높이 쌓는 것뿐만 아니라 성벽을 나누어 관리하는 체제라고 보시면 돼요. 그러면 하나가 뚫리면 도미노처럼 뚫리는 체제가 아니라 하나에서 차단이 되는 거죠.
그런 식으로 개인정보 관리가 안전하게 관리되도록 체제를 갖추어 놓으면 어떤 류의 공격이 있을지는 모르는 거죠, 미래에. 하지만 그거를 조기에 탐지하고 또 차단을 국한해서 차단시킬 수 있다는 그런 점이고요.
앞으로는 AI가 공격뿐만 아니라 방어도 AI가 하는 그런 속도로 가게 될 겁니다. 그래서 지금의 사람 중심의 관리·방어체계에서 앞으로는 모든 걸 AI, AI 에이전트가 할 수 있다는 가정하에 빠르게 그거에 대해서 탐지하고 대응하는 체제로 같이 갖추어 나가야 된다고 생각하고 있습니다.
<질문> 안녕하십니까? 최근에 많이 화제가 됐던 처분 건 중 하나가 듀오 사례가 있었는데요. 종교라든지 혼인 여부라든지 다양한 민감정보가 있었는데 이게 유출됐는데도 과징금 처분이 12억밖에 안 됐어요, 왜냐하면 매출 규모도 있다 보니까. 그래서 여론 쪽에서 많이 분노를 하셨던 걸로 제가 알고 있는데, 이런 과징금 중심 체제에 한계가 있다는 비판도 좀 있거든요. 이번에 혹시 개인정보위가 생각하는 대안책이 있으신지 궁금했습니다.
<답변> 또 중요한 질문 주셨는데요. 맞습니다. 이번에 개보위가 오늘 발표하는 예방 중심으로 관리체계를 전환한다는 것도 그 이유 중의 하나입니다. 어떤 사고가 일어나서 '이런 정말 심각한 사고에 대해서는 심각하게 처벌 내려야 되겠다.' 물론 이렇게 처벌 내리는 그러한 조항과 그러한 제도만으로도 상당한 억지력을 발휘할 수 있지만 실질적으로 이게 사전 예방을 할 수 있는 투자로 연결되지 않는다면 유사한 사고가 계속 일어날 개연성이 높아집니다.
더군다나 개인의 민감한 정보를 그렇게 많이 보관하고 있는 데서는 훨씬 더 강화된 안전조치기준들을 적용해야 되는데 제가 아까 설명드린 것처럼 지금의 우리 법률은 크든 작든, 중요하든 조금 덜 중요하든, 민감한 정보를 많이 관리하든 아니면 그냥 덜하든 간에 일률적으로 안정성 지금 확보조치기준이 그거에 고려 없이 적용되도록 돼 있습니다.
그래서 앞으로는 이게 위험 기반한 우리 관리체계로 가겠다, 그러면 앞으로는 위험성에 대한 평가 모형도 우리가 개발하려고 지금 준비를 하고 있고요. 점차적으로, 하루아침에 다 바꿀 수는 없지만 위험성에 기반해서 관리하는 체제로 가겠다는 겁니다.
그래서 실제로 많은 개인정보를 관리하고 이용하고 또 민감한 정보를 하는 데서는 상당히 강화된 안전조치기준을 적용하고, 그렇지 않은 데는 조금 더 가볍게 이렇게 할 수 있도록 해서 너무 과소 규제되거나 과잉 규제되는 그런 부작용을 해소하겠다는 그런 말씀을 드리고요.
특히 이번에 듀오 같은 상황에서도 이게 매출액 기반이다 보니까 현재까지는 3% 적용이고, 그러다 보니 매출액 자체가 작은 기업으로서 여러분들이 느끼는 '사건의 심각성에 비해서 왜 이렇게 제재 규모가 작냐?'라고 느끼실 수 있을 겁니다. 근데 현재 체제, 법 규정상은 그렇게 어쩔 수 없는 부분이었고요.
그래서 이게 그렇게 우리가 과징금에 대한 처분을 내렸지만 혹시라도 굉장히 국민들의 민감한 정보가 유출되어서 다크웹이라든가 SNS상에 혹시 떠돌지 않는지 계속 저희가 면밀하게 모니터링하고 있고 있고요. 그리고 혹시 그런 경우에는 바로 삭제할 수 있는 조치들 취하기 위해서 노력하고 있고, 또 이렇게 민감한 정보를 많이 다루는 결혼정보업체, 아까 말씀드린 상조업체라든지 이런 개인 상담을 하는 상담센터 같은 경우도 개인정보가 많기 때문에, 그런 좀 우리가 분류했을 때는 고위험 분야라고 생각되는 부분에 대해서는 미리 실태점검들을 해서 문제가 있으면 그런 안전관리조치들을 미리 할 수 있도록 그렇게 할 계획입니다.
<질문> 두 가지인데요. 하나, 2월에 공공부문 보호인력하고 예산 부족 조사하셨잖아요. 이거 혹시 공개하실 의향이 없는지, 좀 알아야지 저희가 이게 되게 미약하구나, 좀 알 것 같은데 공개 의향 여부.
두 번째, 그다음에 개보위가 직접 관리하겠다는 공공시스템 387개, 이게 어느 부처의 어떤 것들이 궁금한데 이것도 좀 구체적으로 공개할 수 있나 궁금하거든요.
<답변> 네, 역시 날카롭게 질문을 주시는데 첫 번째 주신 질문에 대해서는 일단 저희가 공공 분야의 실태점검을 한 목적 자체가 사실 공공부문이 어느 때나 다 인력도 필요하고 예산도 필요하고 하지 않습니까? 근데 우선순위가 조금 밀리다 보면 아무래도 그럴 수 있어서 이번에 좀 중요성을 상기시키고 또 예산당국이라든지 인력을 담당하는 부처에게 좀 우리 개보위가 도움을 좀 드려서 관계, 해당되는 부처, 기관 또 지자체가 인력을 확보하실 수 있도록 하는 거가 일단 목적입니다.
그래서 '어느 데는 못 하고 있다.'를 지금은 막 그걸 공개해서 하기보다는 기본적으로 지금의 어떤 상황이 얼마나 우리가 생각하는 그 기준에 많이 부족한지에 대해서 부처 내에 공감대를 확산시키고 또 관계당국에게 협조를 구해서 인력과 예산을 확충하도록 하는 그런 목적이어서 지금 그렇게 협의를 진행하고 있다는 말씀을 드리고요.
그다음에 두 번째, 우리 개보위가 직접 관리하겠다는 것, 물론 관계부처와 같이 필요하면 합동해서 그렇게 점검하고 할 겁니다. 근데 아무래도 여기는 정말로 개인정보에 대한 거가 많이 축적돼 있는 시스템을 갖고 있는 데들 있잖아요. 그 387개 시스템들이 실제로는 한 320여 개 기관에 속해있는 시스템들인데, 근데 그런 경우에는 위험도가 높기 때문에 개보위가 직접적으로 관리하면서 또 필요한 관계부처 협조를 구하려고 하고요.
기본적인 데가 통신, 금융, 의료, 복지, 공공 이런 파트라고 생각하시면 되겠습니다. 거기가 가장 개인정보들이 많이 축적되어 있기 때문에 집중관리를 하려고 합니다.
<질문> 안녕하세요? 쿠팡 이야기 해주셨었는데 KT도 조사 거의 끝난 것으로 아는데 혹시 예정이나 어떻게 되는지 공유 좀 해주실 수 있는지 부탁드립니다.
<답변> KT 사고에 대해서도 국민 여러분이 우려도 많으시고 관심도 많으실 겁니다. 펨토셀로 인해서 나중에 또 그런 실질적으로 소액결제 피해까지 나타난 경우도 있었었고 해서 관심과 우려가 많으신 거를 저희가 잘 알고 있고, 이번에 조사를 마무리하고 거기도 역시 KT에 대해서도 사전 통지를 했습니다. 그리고 지금 의견을 또 받고 있는 중이다, 이렇게 보시면 되겠고요. 사업자 의견 제출을 행정절차법에 따라서 받아서 역시 저희 법리와 함께 같이 또 조사한 사실에 근거해서 검토를 마무리하고 또 우리 개보위 전체회의에서 논의해서 그렇게 처분할 예정입니다.
이미 조사가 마무리되었기 때문에, 아까 쿠팡도 그렇고요. 그렇게 오래 걸릴 거라고 생각하지 않고요. 빨리 좀 책임에 상응하는 적절한 처벌을 내리기 위해서 노력하겠습니다.
<질문> 오늘 국무회의에서 공공기관·부처 CPO가 51개 부처에 96명을 보강해 달라는 요청을 하셨는데 이게 지금 기획처와 또 인력 협의를 통해서 예산도 확보해야 되고 그런 부분이 있는데 이 보강이 한 얼마의 시간 동안 이루어... 이게 다 보강이 될 것으로 예상을 하고 어떻게 계획하고 계신지가 궁금합니다.
<답변> 이거는 제가 사실 다 답변드릴 수 있는 문제였으면 좋겠는데 그렇지 않고 역시 또 실제로 예산당국 또 인원을 담당하는 부처하고 당연히 거기서 좀 결정해 주셔야 할 문제인 것 같고요. 저희는 실제로 실태조사 한 결과를 다 공유를 또 하고 거기에 의논드림으로써 그런 결정을 거기서 정확하게 어떤 현황인지를 잘 파악하고 거기에 기초해서 내릴 수 있도록 그렇게 협의를 하고 있다는 말씀을 드리고요.
아무래도 순수 인원 증원뿐만 아니라 안에서 조금 더 효율적으로 인원을 쓰기 위해서 이렇게 서로 개편하는 일도 같이 동반될 수도 있기 때문에 시간이 얼마나 걸릴지는 조금 봐야 되겠지만 저희는 아무튼 신속하게 되기를 바라고 있습니다.
<질문> 크게 두 가지가 있는데요. 개인정보 유출에 대해서는 외부 공격뿐 아니라 내부 자발 유출도 위험한 걸로 알고 있는데, 이것도 사전에 실태점검, 예방점검을 할 때 그 사항에 포함이 되는지와 그리고 지금 개보위에서 공공기관 개인정보 보호수준 평가 제도를 운용하고 있는데, 민간이 운영하는 클라우드 사업자 이런 데 대해서도 사전 실태점검을 하는 만큼 민간에 대해서도 평가 제도를 시행할 계획이 있는지 그렇게 두 가지 드리겠습니다.
<답변> 첫 번째 주신 질문에 대해서, 우리가 사전 실태점검을 할 때는 기술적·관리적·물리적 조치 이런 것들이 적절하게 됐는지를 먼저 우리가 관련된 서면으로 다 제출을 받아서 보고 그리고 현장 점검을 나가서 보고요. 문제가 있으면 시정조치를 내리고 거기서 받아들이면 이게 시정명령으로 전환이 되고, 그리고 또 안 지키게 되면 거기에 따른 과태료가 나가는 이런 순서인데요.
기본적으로는 다들 지금까지 보면 이렇게 시정조치를 하게 되면 대부분 다 따르시는데, 그러면 여기에 내부자 유출까지 포함이 되느냐는 말씀이신데, 기본적으로 우리가 사고가 일어난 원인을 보면 대부분이 해킹이 많습니다. 개인정보에, 우리의 업무 중에서 개인정보 침해가 있고 크게 보면 유출이 있지 않습니까?
그런데 개인정보 침해라고 하면 어떻게 보면 적극적인 의도를 가지고 동의를 하지 않는, 동의에 기반하지 않는 정보를 수집한다든지 그 목적, 동의를 받을 때 목적 외에 쓴다든지, 이거를 자기 어떤 광고라든가 수익을 낼 목적으로 쓴다든지 이런 부분들이 개인정보 침해라고 보면 개인정보 유출은 기본적으로 가장 큰 원인은 해킹이 제일 많습니다. 하지만 해킹 외에도 내부자의 유출들이 있는데 유출이 고의인 경우도 있고 실수인 경우도 있는 거죠.
그러니까 이게 고의나 실수 같은 거를 사실은 실태점검에서 사람이 인적 요인에서 일어나는 이것을 사실 미리 다 커버하기는 어렵죠. 그렇지만 접근 권한을 관리, 이 사람은 여기까지만 권한... 들어올 수 있다. 그러니까 통제도 그렇고 물리적 통제, 기술적 통제를 정확하게 해놓고 접근 권한을 촘촘하게 해놓으면 이게 많이 들어올 수가 없어요. 이게 하나 뚫린다 하더라도 자기한테 주어진 권한 외에는 자기도 더 이상 가져갈 수도 없고 누구한테 열어줄 수도 없고 누가 열기도 어렵거든요.
그러니까 이거를 그만큼 접근 권한 관리를 하고 접근 통제를 하게 되면 당연히 그런 유출이 줄어들 수밖에 없는 결과인 거죠. 그러니까 그런 것들은 같이 실태점검 해서, 당연히 점검을 통해서 개선할 수 있는 그런 부분이고요.
정말로 고의로 들고 나가거나 의도치 않은 실수로 일어난 일들이 다 막기는 어렵지만 그 의도치 않은 실수라는, 고의라 하더라도 그러한 접근 권한 관리가 아주 촘촘하게, 이렇게 세밀하게 되면 많이 할 수가 없다, 본인이 접근할 수 있는 게 많지 않기 때문에. 그렇게 보시면 되겠습니다.
그리고 두 번째, 개인정보 보호수준 평가를 민간 쪽에도 할 계획이 있느냐, 라는 건데 지금 크게 보면 공공 쪽은 우리 개인정보 보호수준 평가를 통해서 계속 공공기관이 얼마나 잘하고 있나, 거기에 대한 점수를 주고 그게 전체적인 정부업무평가하고 연계되도록 지금 하고 있고 공공기관장 평가하고도 연계되도록 하고 있거든요. 2024년부터 시작해서 2025년 지금 2년째 했습니다. 계속 더 강화하고 있고요.
그럼 민간 쪽은 사실은 자발적으로 우리가 하도록 여러 가지 유도하는 장치들이 저희 좀 필요하기도 하고, 그래서 그동안 ISMS-P로 사실 해왔다고 보시면 됩니다. 그래서 우리 개인정보하고 정보보호관리체계인 ISMS-P를 받거나 아니면 자율규약이라고 해서 조금 작은 단체들이, 협·단체별로 해서 우리가 25개 협·단체에 8만여 개 기업들이 들어 있는데요. 거기에 자율규약을 만들어서 스스로 업종별 특성에 맞게 그 규약을 만들어 지키고 있다, 라고 하면 혹시 사고가 나더라도 감경해 주는 체제로 그렇게 노력하도록 유도하고 있는 부분인데, 이제 이거로 좀 약하고 여전히 안 지켜지는 부분이 있지 않느냐는 것 때문에 이번에 개인정보 관리체계를 강화하는 저희가 정책을 발표한 겁니다.
그래서 ISMS-P에서는 아까 크게 기본적인 우리 정책 방향을 위험도에 따른, 정도에 따라서 달리 가져가겠다고 말씀드렸잖아요. 그래서 고위험인 경우에는 강화된 인증기준을 쓰고, 그리고 보통인 경우에는 표준 된 인증기준 그리고 좀 더 간편화된 인증기준 이 세 가지로 나눠서 할 겁니다.
기존에는 그냥 101개 항목 해서 동일한 기준을 적용했는데 앞으로는 강화된 것, 표준, 간편 이렇게 달리 기준을 적용해서 ISMS-P를 실질적으로 작동할 수 있게, 현장 실사 그리고 사후 취소 이런 것도 다 같이 들어 있는 강화 대책이고요.
그렇게 운영함으로써 사실상 민간은 뭐든지 잘하면 정말로 인센티브를 주고 잘 못하면 어쩔 수 없이 강하게 제재를 할 수밖에 없다, 그러니 미리 예방 투자를 합시다, 그게 오히려 비용이 더 쌀 거고 거기에 또 신뢰도를 한번 시장에서 잃으면 회복이 매우 어려운 거기 때문에 그거를 경영의 핵심 수단으로 생각하고 개인정보 보호를 가져가자, 이런 취지입니다.
<답변> (사회자) 추가적인 질문이 더 없으시면 오늘 브리핑은 이것으로 마치도록 하겠습니다. 참석해 주신 기자님들께 감사 말씀드립니다.
<답변> 감사합니다. <끝>