김용민 앵커>
최근 잇따른 대규모 해킹 사고로 국민 불안이 커지면서, 정부가 범정부 차원의 대응체계를 가동했습니다.

김현지 앵커>
관계부처가 합동으로 발표한 '정보보호 종합대책'.
어떤 내용들이 담겼는지, 개인정보보호위원회 고낙준 신기술개인정보과장과 얘기 나눠보겠습니다.
안녕하세요.

(출연: 고낙준 / 개인정보보호위원회 신기술개인정보과장)

김용민 앵커>
본격적인 얘기에 앞서, 지난달 발표된 '범부처 정보보호 종합대책'에 대한 정부 브리핑 내용부터 듣고 오겠습니다.

김용민 앵커>
지난달, 정부가 '범부처 정보보호 종합대책'을 발표했죠.
이번 대책이 나오게 된 배경은 뭔가요?

고낙준 과장>
시청자 여러분도 잘 아시다시피 올해 SKT 고객정보 유출사건 등 통신사,카드사에서 개인정보 유출사건이 있었습니다. 이러한 유출사건은 그 규모면에서도 크지만 유출된 정보 역시 2차 피해를 유발할 수 있는 중요한 정보라는 점에서 국민 여러분의 우려가 컸습니다. 이러한 국민 불안이 가속화되는 현 상황을 신속히 극복하고 국가 전반의 정보보호 역량을 강화해야 할 필요성이 제기되었습니다. 이에 개인정보보호위원회는 우선 지난 9월 사전예방 중심의 개인정보 안전성 강화대책을 발표한 바가 있으며, 이후 국가안보실을 중심으로 여러 관계부처가 함께 참여하는 「범부처 정보보호 종합대책」을 수립하여 10월 22일 발표하게 되었습니다. 이번에 발표된 대책은 현 사안의 시급성을 고려하여 즉시 실행할 수 있는 단기과제 위주로 제시되었으며, 이후 중장기 과제를 망라하는 「국가 사이버안보 전략」을 별도로 수립할 계획입니다.

김현지 앵커>
최근 SKT 해킹 사고와 KT 소액결제 사건 등으로 국민 피해가 컸었죠.
이렇게 개인정보 유출 사고가 잇따르는 이유는 뭐라고 보십니까?

고낙준 과장>
AI의 발전으로 해킹기술은 급속히 발전하는데 반해, 이를 막을 수 있는 법·제도적 장치는 여전히 제자리에 머물고 있어 이러한 문제가 지속되지 않았나 생각하고 있습니다. 구체적으로 말씀드리면, 유출사고가 발생할 때마다 각종 규제를 추가하는 기존의 대응 방식으로는 나날이 새롭게 진화하고 있는 해킹 위협에 선제적으로 대응하기 어렵다고 생각합니다. 또한, 개인정보 보호와 관련한 국민적 감수성은 상당히 높음에도 불구하고 세계적 수준에 비해 관련 인적·물적 투자 규모는 낮은 수준입니다. 이는 많은 기업에서 개인정보 보호를 위한 자원 투입을 적극적 투자가 아닌 소극적 '비용'으로 보는 인식·관행이 중요한 원인이라고 할 수 있습니다. 아울러, 유출사고가 반복되는 기업 등 개인정보 보호에 현저히 소홀한 기업에 대해서는 징벌적 과징금 등과 같이 보다 엄정한 제재를 부과할 수 있는 체계가 부족하고,피해자의 실질적인 권리구제를 보장하기 위한 체계도 미흡한 상황입니다.

김용민 앵커>
개인정보 유출 사고를 예방하기 위해, 개인정보위에서도 대책을 마련했죠.
어떤 내용인가요?

고낙준 과장>
AI 기술 발전 등으로 예측 불가능한 형태로 보안 위협이 진화하고 있고, 개인정보 처리 자동화·집중화로 인한 위험성은 지속 증가하고 있는 상황에서,정부의 타율적인 점검과 규제만으로는 개인정보 유출 문제를 해결하기 어렵기 때문에, 기업 스스로 사전에 예방할 수 있는 체계를 마련하는 것이 중요하다고 생각합니다. 그러나, 최근에 발생한 국내 주요 통신사의 개인정보 유출 사례를 보면 국내 기업은 기본적인 보호 조치를 이행하지 않거나 인적·물적 투자 규모가 부족한 상황으로 파악되어 이에 대한 개선이 시급한 상황입니다. 실제 23년말 기준으로 미국 기업이 전체 정보화 분야에 투자하는 금액 중에서 정보보호에 투자하는 비중이 약 11.6% 이상에 이르는 반면에, 우리나라 기업은 6.1%에 불과하여, 미국 기업에 비해 상당히 낮은 수준입니다. 이에 개인정보위는 최근 대규모 유출사고를 계기로 확인된 제도적·기술적 미비점과 기업의 인식·관행 등에 대한 문제점을 교훈 삼아, 엄정한 제재 기조는 유지하면서도 제재, 의무화 등과 같은 사후적 조치보다 평소 개인정보 보호에 적극 노력한 기업에 대한 인센티브 강화 등과 같은 사전 예방을 중심으로 하는 개인정보 안전관리 체계로 패러다임을 전환을 추진할 계획입니다.

김현지 앵커>
개인정보 보호를 위해선 사후조치보다 사전예방을 중심으로, 안전관리 체계를 전환해야 한다고 말씀하셨는데요.
이를 위한 구체적인 방안은 있습니까?
언급하신 보호책임자(CPO)는 정확히 어떤 역할을 하는 사람인가요?
개인정보 유출 '사전 예방' 전환을 위한 방안, 이어서 설명해 주시죠.

고낙준 과장>
우선, 평소 개인정보 보호를 위한 적극적·선제적 조치에 노력한 기업에 대해서는 유출사고 발생 시 과징금 감경이나 공공기관 평가시 가점을 부여하는 등 다양한 인센티브를 제공할 수 있도록 규제 체계를 정비하고, 기업최고경영자(CEO) 책임 명확화, 보호책임자(CPO)의 법적 권한과 역할 강화 등을 통해 실질적이고 상시적인 내부통제가 가능하도록 개선해 나갈 예정입니다. 또한, 이미 유출된 개인정보가 다크웹 등에서 불법 유통되는지 여부를 탐지하고 관련 정보 발견시 해당 사업자 및 유관기관에 신속히 공유하는 체계를 마련하여 개인정보 유출에 따른 2차 피해 예방에도 만전을 기할 계획입니다. 그 밖에도 개인정보 보호 분야의 투자를 전체 정보화 예산의 10%이상 확대하도록 권고하고 '개인정보보호 관리체계 인증 (ISMS-P)' 현장심사 강화, 대규모 수탁사 및 중소 사업자의 보안역량 제고 등의 다양한 과제를 통해 개인정보 보호를 위한 투자가 '불필요한 비용'이 아닌 '기본적 책무'이자 '전략적 투자'로 인식될 수 있도록 개선해 나갈 계획입니다.

김용민 앵커>
해외 주요국에 비해, 우리나라 기업은 개인정보 보호 분야에 많은 예산이나 인력을 투입하지 않고 있다는 지적이 있는데요.
어떻게 하면 이런 문제를 개선할 수 있을까요?

고낙준 과장>
개인정보보호법에 기업 최고경영자인 CEO의 의무를 구체적으로 명시하여 개인정보보호에 있어 CEO가 최종 책임자라는 점을 명확히 할 필요가 있습니다. 이를 통해 CEO가 회사내 인적·물적 자원을 충분히 투입할 수 있도록 할 예정입니다. 먼저 전담 인력 관련해서 개인정보보호책임자를 지정해야 하는 대규모 처리자는 총괄책임자를 제외하고 기관별 1명 이상의 개인정보 보호 전담인력 배치를 명문화할 계획입니다. 또한, 공공기관은 주요 공공시스템별 1명 이상 전담인력을 배치토록 하고, 민간에도 주요 시스템별 추가 전담인력 확보 노력 권고할 예정입니다. 다음으로 예산과 관련해서는 개인정보처리자가 전체 정보화 예산의 10%이상을 개인정보보호 예산 (정보보호 포함)으로 확보·운영한 경우, 안전관리를 위한 선제적 조치로 판단하여 다양한 인센티브 체계를 마련할 예정입니다. 개인정보보호 예산 투입 노력도에 따라 사고 발생 시 책임 경감, 공공기관 보호 수준 평가 등에 반영할 계획이며 사업자 부담 경감을 위해 '28년 이전까지는 전체 정보화 예산의 7% 이상~10% 미만, 10% 이상인 경우로 구분하여 인센티브를 차등적용하고, '28년 이후는 10% 이상인 경우에만 인센티브를 부여하는 방안을 검토 중입니다.

김현지 앵커>
업계 일각에서는 이번 대책이 기업활동 위축으로 이어질 수 있다는 우려도 나오는데요.
이에 대해서는 어떻게 생각하시는지요?

고낙준 과장>
행정청이 과징금을 부과하는 것은 해당 기업이 경각심을 갖도록 하는 한편, 다른 기업들도 개별 사건을 통해서 시사점과 교훈을 얻도록 함으로써 유사한 사고를 사전에 예방하기 위한 것입니다. 다만, 이번 대책에 따라 개인정보를 유출한 기업에게 무조건 징벌적 과징금을 부과하는 것이 아니라는 점을 밝혀드립니다. 평소 적극적·선제적 보호조치에 노력한 기업에 대해서는 과징금 감경 등의 인센티브를 부여하지만, 기본적인 보안수칙도 지키지 않은 중대한 과실이 있거나, 반복적으로 유출사고가 일어난 기업 등 평소 개인정보 보호에 현저히 소홀한 기업에 대해서는 엄정한 제재 처분을 통해 위법 행위에 대한 억지력을 강화할 계획입니다. 이는 개인정보 보호를 위한 비용이 기업 활동을 위축시키는 것이 아니라 사고발생시 책임 경감 및 고객 신뢰 확보 등을 통해 실질적인 도움이 될 수 있을 것으로 기대하고 있습니다. 아울러, 기업의 경영자들도 과징금 액수가 단순히 증가하는 것만으로 기업 활동이 위축된다고 생각하지 마시고 고객의 정보를 안전하게 보호하는 것이 기업의 상품과 서비스에 대한 신뢰를 확보할 수 있는 지름길이라는 생각으로 평소 개인정보 보호에 많은 노력을 기울여 줄 것을 요청드립니다.

김용민 앵커>
이렇게 기업으로부터 징수한 과징금을 피해자 구제를 위한 기금으로 활용하는 방안도 추진하기로 했죠?

고낙준 과장>
최근 SKT 유출사고를 계기로 사업자로부터 징수한 과징금이 전액 국고 귀속되어, 실제 사고피해자에 대한 피해 구제에는 쓰이지 않는 점을 지적하는 목소리가 커지고 있습니다. 이에 개인정보위도 이러한 문제 인식 하에 유출사고 피해자 중심의 실질적 피해구제 방안을 검토하고 있으며, 구체적으로는 개인정보위가 징수한 과징금 등을 재원으로 '개인정보 피해구제 기금'을 신설해 피해구제에 활용하는 방안과, 그 외에 피해구제에 적극적으로 나선 기업에 대해서는 과징금 처분 수준과 연계하거나, 동의의결 제도를 신설하는 방안 등 법·제도적으로 근본적인 피해구제를 할 수 있는 다양한 정책적 수단을 고려 중입니다. 다만, 기금 설치에 대한 문제는 여러 이해관계자가 있고 정부 전체의 예산 확보·집행 등과 밀접한 관련이 있는 만큼 보다 신중한 검토가 필요한 사항이므로, 국내·외 다양한 사례 등에 대한 정책연구를 통해 추진 방안 등을 구체화할 예정이며, 내부적으로 추진 방안이 구체화되면 기재부 등 관계 부처와도 긴밀히 협의하여 추진할 계획입니다.

김현지 앵커>
최근 개인정보위는 KT로부터 개인정보 유출 신고를 추가로 접수해 조사 중이라고 밝혔죠.
현재까지 확인된 내용은 어떻습니까?

고낙준 과장>
어제(11.6) 발표된 과기정통부의 KT 침해사고 중간 조사결과를 살펴보면 불법 초소형 기지국(펨토셀)과 KT망과의 접속 과정에서의 인증관리, 정보 전송을 위한 암호화, 악성코드가 감염된 서버관리 등에 많은 문제가 있었던 것으로 나타났습니다. 개인정보위에서도 KT로부터 접수된 개인정보 유출 신고에 대한 조사를 착수한 상황이며 현재 과기정통부 민·관합동조사단, 경찰 등과 긴밀히 협력하여 초소형 기지국 접속 과정 및 소액결제 경위에 대해 KT가 제출한 자료 분석, 현장조사 등을 통해 사실관계를 확인 중입니다. 조사과정에서 안전조치 의무 등 KT의 보호법 위반 사항이 확인될 경우 엄중히 처분할 예정입니다.

김용민 앵커>
AI 기술 확산으로 해킹 위협이 고도화되고 있는 만큼, 그에 맞춰 보안 기술도 강화될 필요가 있을 것 같습니다.
이에 대한 대응책도 마련 중에 있나요?

고낙준 과장>
AI 기술 발전 등으로 예측 불가능한 형태로 해킹 위협이 고도화되고 있음을 고려할 때, AI 시대에 예상되는 개인정보 침해 위협을 사전에 예측·예방하는 기술개발을 통해 촘촘한 개인정보 안전망을 구축하는 것이 필요하다고 생각합니다. 개인정보를 안전하게 지키기 위해 개인정보처리자가 지켜야할 개인정보안전성 확보조치라는 고시가 있는데, 최근 확산되는 AI·클라우드 환경과 새로운 보안위협 등을 반영하여 이를 개정할 예정입니다. 아울러, 기술분석센터를 구축하여 복잡해지는 개인정보 처리 상황을 모니터링하고, 관련 동향을 기업들에게 신속하게 공유할 계획입니다. 특히 다크웹 등에서 불법 유통 되는 개인정보의 탐지·조사 기술과 AI 유형별 특성에 기반한 개인정보 침해 예방 기술 등을 지원하는 한편, 장기적으로 개인정보 보호 전문인력(석·박사 과정) 양성 등을 추진할 계획입니다.

김현지 앵커>
마지막으로 이번 종합대책과 관련한 개인정보위의 향후 계획은 어떻게 되나요?

고낙준 과장>
개인정보위는 이번에 발표한 「범부처 정보보호 종합대책」이 현장에서 제대로 작동될 수 있도록 여러 관계부처와 함께 실행과정을 면밀히 살펴보고 부족한 부분이 있으면 지속적으로 보완해 나갈 계획입니다. 아울러, 법령 개정이나 예산·인력 확보 등의 후속조치가 필요한 사항에 대해서는 사업자 설명회 및 의견수렴을 통해 이행 가능한 합리적 기준을 명확히 설정하고, 이를 법령·고시에 반영하거나 관련 예산을 확보하는 등의 후속조치를 최대한 신속하게 차질없이 추진할 예정입니다. 아울러, 민간의 자율적인 참여를 통해 합리적 기준을 설정하였음에도 그러한 기준을 준수하지 못하고 유출 사고가 발생한 경우에는 그 원인과 책임을 조사하여 엄정하게 제재할 계획입니다.

김용민 앵커>
지금까지 개인정보보호위원회 고낙준 신기술개인정보과장과 이야기 나눴습니다.
오늘 말씀 고맙습니다.

( KTV 국민방송 케이블방송, 위성방송 ch164, www.ktv.go.kr )
< ⓒ 한국정책방송원 무단전재 및 재배포 금지 >