유출 사실을 알게 된 뒤 메일을 받는 게 당연한 일이라고 생각하셨나요? 저도 그렇게 생각했습니다. 그런데 이번에 개인정보보호위원회가 내놓은 시행령 개정안을 보고 나서야, 그게 당연한 게 아니라는 걸 처음으로 느꼈습니다. 개인정보 보호법 시행령 일부개정령안이 입법예고되면서, 유출이 확정되기 전 '가능성' 단계부터 72시간 이내 통지하는 제도가 신설되었습니다. 개정안 전문은 개인정보보호위원회 누리집에서 확인할 수 있습니다(출처: 개인정보보호위원회).
유출 통지와 CPO 독립성, 달라지는 것들
직접 겪어보니, 사후 통지가 얼마나 무력한 경험인지 말로 다 설명하기 어렵습니다. 몇 년 전 이용하던 쇼핑몰에서 "회원님의 개인정보가 유출되었을 가능성이 있습니다"라는 메일이 왔습니다. 읽는 순간 가슴이 철렁했는데, 정작 메일이 온 시점에는 이미 비밀번호와 전화번호가 다 나간 상태였습니다. 비밀번호를 바꾸는 것 말고는 할 수 있는 게 없었고, 그 무력함이 꽤 오래 남았습니다.
이번 개정안은 그 지점을 건드립니다. 개인정보처리시스템에 대한 불법적 접근이 확인되거나 개인정보가 불법으로 거래·유통되고 있다는 정황을 인지한 순간, 기업이 72시간 이내에 정보주체에게 통지하도록 의무화했습니다. 여기서 정보주체란 개인정보가 수집·이용되는 당사자, 즉 서비스 이용자 본인을 의미합니다. 실제로 유출이 완료되기 전에 먼저 알림을 받을 수 있다면, 2차 인증 설정이나 금융 계정 점검 같은 선제적 대응이 가능해집니다. 제 경험상 이 차이는 생각보다 큽니다.
개인정보보호책임자(CPO) 제도도 이번 개정에서 눈에 띄게 달라집니다. CPO란 기업 내에서 개인정보 보호 업무 전반을 총괄하는 책임자를 말합니다. 기존에는 CPO를 임명하고 교체할 때 내부 절차만 거치면 됐지만, 개정안은 일정 규모 이상의 개인정보처리자에 대해 CPO 지정·변경·해제 시 이사회 의결을 거치고, 의무 발생일로부터 1개월 이내 개인정보보호위원회에 신고하도록 명문화했습니다. 이 조치는 CPO가 경영진의 입김에 흔들리지 않고 독립적으로 판단할 수 있는 제도적 기반을 만든다는 측면에서 긍정적으로 봅니다.
또한 이번 개정안은 개인정보 분실·도난·유출뿐 아니라 위조·변조·훼손의 경우에도 통지와 신고 의무를 부과합니다. 이전에는 유출 사고에 국한됐던 범위가 데이터 무결성 침해 전반으로 확장된 셈입니다.
이번 개정의 핵심 변화를 정리하면 다음과 같습니다.
- 개인정보 유출 가능성 단계부터 72시간 이내 정보주체 통지 의무화
- CPO 지정·변경·해제 시 이사회 의결 및 개인정보보호위원회 신고 의무 신설
- 유출뿐 아니라 위조·변조·훼손까지 통지·신고 대상 확대
- CPO 신고 기한은 의무 발생일로부터 1개월 이내, 부득이한 경우 1개월 연장 가능
ISMS-P 인증 의무화, 사각지대는 없는가
이번 개정안에서 또 하나 중요한 축은 ISMS-P 인증 의무화 범위 확대입니다. ISMS-P란 정보보호 및 개인정보보호 관리체계 인증(Information Security Management System - Personal information)의 약자로, 기관이 개인정보를 얼마나 체계적으로 보호하고 있는지를 외부에서 심사해 공식 인증을 부여하는 제도입니다. 쉽게 말해 개인정보 보호 수준을 국가가 검증해주는 일종의 '보안 성적표'라고 보면 됩니다.
이번 개정안에서 ISMS-P 인증 의무 대상으로 구체화된 기준은 다음과 같습니다.
- 공공시스템운영기관 중 개인정보보호위원회가 고시한 기관
- 이동통신사업자 및 본인확인기관
- 전년도 매출액 1조 원 이상이면서 정보통신서비스 부문 매출액 100억 원 이상, 그리고 직전 3개월 일일 평균 국내 정보주체 수가 3,000만 명 이상인 사업자
해당 대상자들은 2028년 12월 31일까지 인증을 완료해야 합니다.
제가 직접 이 기준을 읽어보니, 솔직히 이건 예상 밖이었습니다. 3,000만 명이라는 숫자는 사실상 국내 최대 규모 플랫폼에만 해당하는 수치입니다. 매출 1조 원이라는 기준 역시 마찬가지입니다. 그렇다면 보안 투자 여력이 훨씬 적고, 실제로 유출 사고가 더 빈번하게 발생하는 중소형 커머스나 스타트업은 이번 의무화 대상에서 완전히 빠집니다.
개인정보보호위원회가 공개한 자료에 따르면 개인정보 침해 신고·상담 건수는 매년 수십만 건에 달하며, 그 중 상당수가 중소 사업자와 관련된 사례입니다(출처: 개인정보보호위원회). 대형 플랫폼은 이미 자체적으로 보안 조직과 시스템을 갖추고 있는 경우가 많습니다. 의무 인증이 진정으로 실효성을 가지려면, 인증 의무 대상을 세분화하고 중소 사업자를 위한 단계적 의무화나 인증 취득 지원 방안을 병행했어야 한다고 생각합니다. 이 부분은 개정안에서 아쉬움이 남는 지점입니다.
과태료 부과기준도 이번에 함께 정비됩니다. 경미한 위반에 대해서는 과태료 대신 경고로 처리하되, 이후 동일한 위반이 재발하면 과태료 가중 횟수에 반영하는 방식으로 제재 구조를 합리화했습니다. 초범에 유연하게 대응하면서도 반복 위반에 대한 억제력을 높이는 방향은 균형 잡힌 접근으로 보입니다.
이번 개정안에 의견이 있다면 국민참여입법센터를 통해 의견을 제출할 수 있습니다. 정책이 만들어지는 과정에 직접 참여할 수 있는 통로가 열려 있다는 점을, 저도 이번에 다시 상기했습니다.
이번 개정안은 분명 방향성 자체는 맞습니다. 유출 가능성 단계부터 통지하도록 한 것만으로도 일반 이용자 입장에서는 체감할 수 있는 변화입니다. 다만 ISMS-P 인증 의무 대상의 편향 문제는 향후 시행 과정에서 반드시 보완이 필요하다고 봅니다. 당장 할 수 있는 것부터 챙겨두는 것이 현실적입니다. 이메일 계정과 주요 금융 앱에 2단계 인증을 설정하고, 평소 이용하는 서비스에서 오는 보안 알림을 흘려보내지 않는 습관, 그게 지금 시점에서 가장 실용적인 대응입니다.
이 글은 개인적인 경험과 의견을 공유한 것이며, 전문적인 법률 조언이 아닙니다. 구체적인 사항은 개인정보보호위원회 공식 채널을 통해 확인하시기 바랍니다.
참고: [출처] 대한민국 정책브리핑(www.korea.kr)