2025.12.19 금요일
검색
'정보보호 인증' 검색결과
기간검색
-
~
검색영역
검색어
-
개인정보위, 개인정보 유출 기업에 매출 10% '징벌적 과징금'…"사후 약방문 없다" [이코노믹데일리] 개인정보보호위원회(이하 개인정보위)가 반복적인 개인정보 유출 사고를 일으킨 기업에 대해 매출액의 최대 10%를 과징금으로 부과하는 ‘징벌적 과징금’ 제도를 도입한다. 또한 최고경영자(CEO)에게 개인정보 보호 관리의 최종 책임을 묻고 피해자가 손해배상을 청구할 수 있는 단체소송 요건을 완화하는 등 제재 수위를 대폭 강화한다. 송경희 개인정보위원장은 12일 정부세종컨벤션센터에서 열린 ‘2026년 업무보고’ 브리핑에서 이 같은 내용을 골자로 하는 정책 추진 계획을 발표했다. 송 위원장은 “최근 3년간 개인정보 유출 사고가 20배 이상 급증하며 국민 불안이 커지고 있다”며 “기존의 사후 수습 중심에서 사전 예방과 실효적 제재로 정책 패러다임을 완전히 전환하겠다”고 밝혔다. 이번 대책의 핵심은 ‘강력한 억지력 확보’다. 개인정보위는 반복적이거나 중대한 법 위반 행위에 대해 현행 매출액 3% 수준인 과징금 한도를 최대 10%까지 상향하는 특례를 신설한다. 이는 기업들이 과징금보다 보안 투자 비용이 더 크다고 판단해 안전 조치를 소홀히 하는 관행을 깨기 위한 조치다. 아울러 기업 CEO를 최종 개인정보 보호 책임자로 명시해 경영진의 책임을 법제화하고 일정 규모 이상의 기업에는 정보보호최고책임자(CPO) 지정 신고제를 도입해 관리 체계를 강화한다. ‘사전 예방’ 체계도 구축된다. 정보보호 인증 제도인 ISMS-P를 현장 중심으로 개편해 예비 심사를 도입하고 핵심 기준 미달 시 심사를 즉시 중단하는 등 인증의 문턱을 높인다. 유통 및 플랫폼 등 대규모 개인정보를 처리하는 분야에 대해서는 사전 실태 점검을 정례화하고 ‘기술분석센터’를 신설해 상시 모니터링 체계를 가동한다. AI(인공지능) 시대에 맞춘 데이터 활용 기반도 마련한다. AI 학습용 원본 데이터 활용을 위한 특례를 도입하고 마이데이터 전송 서비스를 2026년부터 에너지, 교육 등 6대 분야로 확대해 데이터 경제를 활성화한다. 일상 속 프라이버시 보호를 위해 IP 카메라나 로봇청소기 등 스마트 기기의 보안 인증을 의무화하는 법적 근거도 마련한다. 특히 딥페이크 등 신종 위협에 대응해 AI 합성 콘텐츠에 대한 삭제 요구권과 유통 금지 조항을 신설해 국민 권익을 보호할 방침이다. 송 위원장은 “반복된 유출 사고는 기업의 생존을 위협하는 경영 리스크임을 인식해야 한다”며 “엄정 대응과 구조적 개선을 통해 국민이 체감할 수 있는 안전한 디지털 환경을 만들겠다”고 강조했다.2025-12-12 14:48:34
-
개인정보위 "쿠팡, '노출' 아닌 '유출'로 정정해 다시 알려라"… 행정지도 착수 [이코노믹데일리] 사상 최대 규모인 3370만명의 개인정보 유출 사고를 일으킨 쿠팡이 사태 초기 피해 사실을 '유출'이 아닌 '노출'로 축소 통지한 것에 대해 정부가 시정을 권고했다. 또한 정부는 이번 사태를 계기로 기업의 책임을 강화하기 위해 징벌적 손해배상제도를 현실화하고 무용론이 제기된 정보보호 인증 체계(ISMS-P)를 전면 개편하기로 했다. 개인정보보호위원회(이하 개인정보위)는 3일 긴급 전체회의를 열고 쿠팡에 개인정보 '노출' 통지를 '유출'로 정정하고 누락된 피해 항목을 포함해 이용자에게 재통지할 것을 권고했다고 밝혔다. 개인정보위 조사 결과 쿠팡은 지난달 18일 비정상적 접속으로 고객 정보가 외부로 빠져나간 사실을 확인했음에도 피해자들에게 보낸 문자메시지와 홈페이지 공지에는 '개인정보 노출'이라는 표현을 사용했다. 법적으로 '노출'은 정보가 누구나 볼 수 있는 상태를 '유출'은 통제권을 상실해 권한 없는 자에게 넘어간 상태를 뜻한다. 업계에서는 쿠팡이 집단소송이나 징벌적 배상 리스크를 줄이기 위해 의도적으로 표현을 순화한 것 아니냐는 비판이 제기돼 왔다. 이에 개인정보위는 이용자의 혼선을 막기 위해 용어를 '유출'로 명확히 수정하고 공동현관 비밀번호 등 당초 공지에서 빠진 항목까지 포함해 다시 알리도록 했다. 또한 홈페이지 초기 화면이나 팝업창에 피해 사실을 일정 기간 이상 게시하고 2차 피해 방지를 위한 전담 대응팀(Help Desk)을 확대 운영할 것을 주문했다. 송경희 개인정보위 위원장은 이날 국회 정무위원회 전체회의에 출석해 "과징금을 강화하고 징벌적 손해배상제도의 실효성을 강구할 수 있는 방안을 찾겠습니다"라고 밝혔다. 이는 전날 이재명 대통령이 "피해 규모가 3400만 건으로 방대한데도 사건이 발생하고 회사가 유출 자체를 파악하지 못했다는 게 참으로 놀랍다"며 관계 부처에 실효적인 대책 마련을 지시한 데 따른 후속 조치다. 송 위원장은 "3370만명의 개인정보가 유출됐고 이름, 이메일 주소, 배송지 정보, 주문정보 등이 유출된 것으로 확인됐다"며 "배송지 주소에는 회원뿐 아니라 가족, 지인, 받는 사람 주소와 일부 공동현관 비밀번호가 포함됐다"고 설명했다. 이어 "사업자가 개인정보 보호에 인적·물적 투자를 하도록 효과적인 유인체계를 만들겠다"고 강조했다. 정부는 이번 사고를 계기로 유명무실하다는 지적을 받아온 '정보보호 및 개인정보보호 관리체계 인증(ISMS-P)' 제도도 대대적으로 손질한다. 쿠팡은 ISMS-P 인증을 유지하고 있었음에도 이번 사고를 막지 못했다. 실제로 2020년 이후 ISMS-P 인증 기업에서 발생한 개인정보 유출 사고는 34건에 달한다. 정부는 향후 인증 심사를 기존 서류 중심에서 '모의 해킹'을 포함한 현장 심사 위주로 전환하고 중대 결함 발견 시 인증을 즉시 취소하는 ‘원스트라이크 아웃’ 제도를 도입할 방침이다. 김승주 고려대 정보보호대학원 교수는 “(정부가) ISMS-P를 현실화시키면서 모의 해킹 위주로 검토하는 것 같다”면서 “ISMS-P 평가자들이 있는데 우선 평가자들을 모아놓고 현장의 (여러) 의견을 들어봐야 한다”고 조언했다. 개인정보위 관계자는 "쿠팡이 개선 권고를 따를지 아니면 그렇지 않을지를 보면 (쿠팡이) 국내 소비자를 어떤 식으로 바라보는지 알 수 있을 것"이라며 "개인정보위로서는 우선 쿠팡에 ‘경고’를 한 셈인데 이번 개선 권고를 이행하지 않으면 나중에 실제 제재 때 영향을 줄 수 있다"고 밝혔다. 한편 쿠팡은 지난달 20일 4536개 계정 유출로 1차 신고를 했으나 이후 정밀 조사 과정에서 피해 규모가 3370만 개로 늘어나 지난달 29일 2차 신고를 접수했다. 현재 민관합동조사단이 정확한 유출 경위와 쿠팡의 보안 조치 위반 여부를 조사 중이다.2025-12-03 15:49:43
-
KT 해킹 부른 '펨토셀', '정부인증' 믿었는데…제도적 허점 드러나 [이코노믹데일리] KT 대규모 해킹 사태를 촉발한 초소형 기지국(펨토셀)이 정부의 핵심 정보보호 인증 제도의 사각지대에 놓여 있었던 것으로 드러났다. 국가 공인 인증을 받았음에도 대형 보안 사고가 터진 근본적인 이유가 제도적 허점 때문이었다는 비판이 나온다. 25일 국회 과방위 소속 이해민 의원(조국혁신당)이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 펨토셀은 정보보호관리체계(ISMS-P) 인증 범위에서 사실상 제외돼 있었다. ISMS-P는 기업의 정보보호 및 개인정보보호 관리 체계가 국가 인증 기준에 적합한지 심사하는 제도로 통신사 등 정보통신망서비스제공자(ISP)는 의무적으로 인증을 받아야 한다. 문제는 인증 범위의 해석과 적용에 있었다. KISA는 “인력과 예산의 한계로 코어망 중심으로만 인증이 진행되고 있다”며 “무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않는다”고 해명했다. 하지만 중앙전파관리소의 무선기지국 검사는 전파의 간섭 여부 등 장비 성능 확인에 국한될 뿐 보안 취약점 점검은 전혀 이뤄지지 않는다. 결국 펨토셀을 포함한 무선 기지국 전체가 보안 검증의 공백 상태로 방치돼 있었던 셈이다. 이러한 형식적인 인증 제도는 결국 ‘종이호랑이’로 전락했다는 지적이다. 이해민 의원은 “해킹 피해를 본 기업은 대부분 ISMS나 ISMS-P 인증을 받은 곳”이라며 “국민은 정부 인증을 신뢰하고 기업 서비스를 이용하지만 현실과 동떨어진 인증 기준과 기업 자율에 맡긴 형식적 검토만으로 보안 수준을 높일 수 없다”고 비판했다. 이 의원은 근본적인 제도 개편을 촉구했다. 그는 “ISP 사업자의 경우 코어망 외부에서도 보안 사고가 발생하는 만큼 인증 범위를 확대해야 한다”며 “형식적인 서류심사나 체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오를 토대로 보안관리 체계를 개편해야 한다”고 강조했다.2025-09-25 08:08:32
많이 본 뉴스
영상
Youtube 바로가기
![[편집국장 칼럼]대통령 업무보고 생중계, 투명성과 정치의 경계](https://image.ajunews.com/content/image/2025/12/19/20251219084040756935_518_323.jpg)