[프라임경제] 올해 9월부터 반복적이거나 중대한 개인정보 유출사고를 낸 기업에 매출액의 최대 10%까지 과징금을 부과한다. '징벌적 과징금 특례'를 담은 개인정보보호법 개정안이 국회를 통과했으나, 아직 시행 전으로 쿠팡과 KT(030200)의 개인정보 유출 사고에는 징벌적 과징금이 적용되지 않는다.
송경희 개인정보보호위원회 위원장이 12일 서울 종로구 정부서울청사에서 예방 중심 개인정보 관리체계 전환 계획을 발표하고 있다. ⓒ 개인정보보호위원회
◆사후 처벌→사전 예방 중심 전환
개인정보보호위원회(이하 개인정보위)가 12일 국무회의에 보고한 '예방 중심 개인정보 관리체계 전환 계획'에 따르면, 정부는 사후 처벌 중심이던 개인정보 보호 정책을 사전 예방 중심으로 전환하기로 했다.
9월11일 시행 예정인 개정 개인정보보호법에 따르면 반복적이거나 중대한 보호법 위반 행위에 대해서는 매출액의 최대 10%까지 과징금을 부과한다.
개인정보보호법은 개인정보 유출 사고 발생 시 직전 3개년 평균 매출의 최대 3%까지 과징금을 부과할 수 있도록 규정하고 있다.
과징금 산정 기준도 현행 '3년 평균 매출액'에서 '직전 연도 매출액'과 '3년 평균 매출액' 중 높은 금액을 적용한다.
조사 강제력을 강화하기 위해 이행강제금, 증거보전명령을 도입한다. 신고포상금제도 도입할 예정이다.
또한 100만명 이상 개인정보 처리 공공기관·기업(약 1700개), 클라우드·시스템 공급사 등 고위험 분야는 정기·수시 점검 등 집중 관리한다. △상조회사 △고객상담센터 △결혼정보업체 △초·중·고 에듀테크도 추가 점검을 실시한다.
최고경영자(CEO)와 개인정보보호책임자(CPO) 책임도 강화된다. CEO의 최종 책임을 법에 명시하고 CPO의 전문성을 강화하고, CPO 협의회 협업으로 위협 조기경보 연락체계를 운영한다.
◆쿠팡·KT 유출 사고 처분 임박
쿠팡의 개인정보 유출 사고에 대한 처분은 이르면 6월 중 결정될 전망이다. 쿠팡은 전 직원이 성명, 이메일 등이 포함된 이용자 정보를 유출하는 사태를 겪었다.
개인정보위는 쿠팡의 개인정보 유출 사건 조사를 끝내고 4월 초 쿠팡에 개인정보 보호법 위반 사항과 예정 처분 내용 등이 담긴 사전통지서를 발송했다.
개인정보위의 조사 및 처분에 관한 규정에 따르면 조사관은 조사 결과보고서를 토대로 예정된 처분 내용을 당사자에게 사전통지하고, 14일 이상의 기간을 정해 의견 제출 기회를 부여해야 한다.
쿠팡은 사전통지서를 받은 뒤 의견 제출 기한 연장을 요청했고, 개인정보위는 이를 받아들였다. 이에 따라 현재 절차는 개인정보위의 의견서 검토와 전체회의 상정만 남았다.
쿠팡에 역대 최대 수준의 과징금이 부과될 수 있다는 전망도 나온다. 현재까지 역대 최대 과징금은 지난해 SK텔레콤(017670)에 부과한 약 1348억원이다.
과학기술정보통신부 민관합동조사단의 발표에 따르면 쿠팡 '내 정보 수정 페이지'에서 이용자 성명과 이메일이 포함된 개인정보 3367만3817건이 유출된 것으로 드러났다.
쿠팡 모회사인 쿠팡Inc의 지난해 매출은 약 49조원이다. 3%를 단순 적용하면 법정 최대 과징금 규모는 약 1조5000억원 수준이다.
송경희 개인정보위 위원장은 "법 원칙에 따라 시행 이후 사건부터 강화된 기준을 적용한다"면서도 "징벌적 과징금과 강화된 매출 기준 모두 시행 이후 발생한 사건부터 적용된다"고 설명했다.
지난해 발생한 KT 개인정보 유출 사고에 대해서도 조사 절차를 마무리하고 처분 사전통지를 발송한 것으로 알려졌다.
개인정보위는 팸토셀을 활용한 무단 소액결제 사건과 관련한 KT의 개인정보 유출을 조사해 왔다. 악성코드 'BPF도어' 감염과 관련해서도 추가 조사를 진행해온 바 있다.
개인정보위는 KT 측 의견서를 받는대로 제재 여부와 수위를 검토할 계획이다.
송 위원장은 "KT에 대해서도 사전통지를 했고 현재 의견을 받는 단계"라며 "이미 조사가 마무리된 만큼 (제재 결정까지) 그렇게 오래 걸리지는 않을 것"이라고 언급했다.
이어 "팸토셀(불법 초소형 기지국) 문제로 소액결제 피해까지 발생했던 만큼 관심과 우려가 많은 사안이라는 것을 잘 알고 있다"며 "빨리 책임에 상응하는 적절한 처벌을 내리기 위해서 노력하겠다"고 덧붙였다.
듀오 개인정보 유출 사고에 대한 제재가 약하다는 지적에 대해서는 "현행 법 규정상 어쩔 수 없는 부분"이라며 "매출액 자체가 작은 기업의 경우 국민들이 느끼기에 사건의 심각성에 비해 제재 규모가 작다고 생각할 수 있을 것"이라고 말했다.
아울러 "혹시라도 국민들의 민감한 정보가 다크웹이나 사회관계망서비스(SNS)상에 유통되고 있는지 계속 면밀하게 모니터링하고 있다"며 "결혼정보업체나 상조업체, 상담센터처럼 민감한 정보를 많이 다루는 분야는 고위험 분야로 보고 실태점검을 실시해 안전관리 조치를 미리 할 수 있도록 만들 계획"이라고 첨언했다.
듀오는 회원 43만명의 신장·체중·학력·자산 등 민감한 프로필 정보를 대거 유출했다. 이에 개인정보위는 듀오에 과징금 11억9700만원과 과태료 1320만원을 부과한 바 있다.
Copyright ⓒ 프라임경제 무단 전재 및 재배포 금지
