실시간 뉴스

"사후약방문 그만…개인정보 보호체계, '사전예방' 중심으로 전환해야"

전문가들 "처벌 회피에 최적화된 현행 체계 한계⋯ISMS-P 인증도 형식화"
산업계 "실태점검만 1년 내내…감독체계 일원화·CPO조직 처우개선 촉구"
개인정보위 "개인정보보호 사전투자 기업 과징금 감경, 9월 시행령 구체화"

[아이뉴스24 윤소진 기자] "개인정보 침해는 회복이 현실적으로 거의 가능하지 않다. 소를 잃지 않도록 미리 외양간을 튼튼하게 만드는 예방적 거버넌스로 가야 할 때다."

23일 서울 국회의원회관에서 열린 '사전예방 중심 개인정보 보호 체계 구축을 위한 토론회'에서 참석자들이 기념촬영하고 있다. [사진=윤소진 기자]
23일 서울 국회의원회관에서 열린 '사전예방 중심 개인정보 보호 체계 구축을 위한 토론회'에서 참석자들이 기념촬영하고 있다. [사진=윤소진 기자]

김도승 전북대 법학전문대학원 교수는 23일 국회의원회관에서 열린 토론회에서 사후 제재 중심 개인정보보호체계의 한계를 이같이 진단했다.

국회 입법조사처에 따르면 지난해 KISA에 접수된 사이버 침해사고는 2383건으로 전년 대비 26.3% 증가하며 역대 최다를 기록했다. 쿠팡, SKT, 롯데카드 등 대규모 개인정보 유출 사태까지 잇따르는 가운데 전문가들은 현행 사후제재 중심의 개인정보보호체계로는 한계가 있다며 사전예방 중심으로의 패러다임 전환이 필요하다고 입을 모았다.

이날 토론회는 김승원 더불어민주당 의원(정무위)이 주최하고 한국CPO협의회가 주관, 개인정보보호위원회 후원으로 열렸다. 사후제재 중심의 개인정보보 보호 체계의 한계를 짚어보고, 사전예방 중심으로 정책 패러다임 전환을 위한 실효성 있는 방안을 모색하기 위해 마련됐다.

"인증 받아도 뚫린다"…사후 제재 체계의 구조적 한계

23일 서울 국회의원회관에서 열린 '사전예방 중심 개인정보 보호 체계 구축을 위한 토론회'에서 참석자들이 기념촬영하고 있다. [사진=윤소진 기자]
김도승 전북대 법학전문대학원 교수는 23일 국회의원회관에서 열린 '사전예방 중심 개인정보 보호 체계 구축을 위한 토론회'에서 발표하고 있다. [사진=윤소진 기자]

발제를 맡은 전문가들은 현행 체계가 사고 예방이 아닌 처벌 회피에 최적화된 구조라고 입을 모았다.

김도승 교수는 "2024년 기준 개인정보 처리자만 510만 개에 달하지만 사고가 터질 때마다 과징금으로 대응하는 방식이 반복되고 있다"고 지적했다.

대표적 예방 수단으로 꼽히는 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증도 형식화가 심각하다는 진단이다. 그는 "인증을 주도하는 정보보호 조직이 비즈니스 부서의 의사결정을 누를 수 없는 구조 탓에 인증이 실질적 예방으로 이어지지 못한다"며 "사업자들이 사고를 미연에 방지하는 방법보다 적발됐을 때의 법적 리스크 관리에 매몰돼 있다"고 설명했다.

사전예방 중심으로의 전환 방향도 제시됐다. 최경진 가천대 법과대학 교수(한국정보법학회장)는 '데이터 햇볕정책'을 제안했다. 그는 "강력한 억지력만 가지고는 절대 성공할 수 없다. 사전 예방에 투자하면 실질적 이득을 얻을 수 있다는 당근책이 함께 있어야 한다"고 말했다. 또 "그동안 개인정보 규제는 특정 시점을 찍는 점 방식이었는데, 이를 시계열적 선형으로, 나아가 방화벽·관제·인사관리를 아우르는 입체적 방식으로 전환해야 한다"고 밝혔다.

개인정보위도 이 같은 문제의식에 공감하며 사전예방을 핵심 정책 과제로 내세웠다. 이정렬 개인정보보호위원회 부위원장은 "한 번 유출된 개인정보는 절대 다시 담을 수 없고 2차 피해로 이어지는 연결고리를 끊을 수 없다"며 "기존의 사후 징벌적 제재만으로는 한계가 있다"고 밝혔다. 그는 "사전 예방에 먼저 투자한 기업에 상응하는 인센티브를 제공하는 내용을 법에 명문화했다"며 "과징금 체계 전면 개편을 올 9월 시행령 개정으로 구체화하겠다"고 덧붙였다.

"CPO는 기피부서"…현장 호소에 정부·국회도 공감대

23일 서울 국회의원회관에서 열린 '사전예방 중심 개인정보 보호 체계 구축을 위한 토론회'에서 참석자들이 기념촬영하고 있다. [사진=윤소진 기자]
최경진 가천대 법과대학 교수(한국정보법학회장)이 23일 서울 국회의원회관에서 열린 '사전예방 중심 개인정보 보호 체계 구축을 위한 토론회'에서 발표하고 있다. [사진=윤소진 기자]

이날 개인정보보호 최일선을 담당하는 현장에서는 인력·권한 모두 한계에 달했다는 호소가 이어졌다.

윤수영 한국CPO협의회 사무총장은 "개인정보보호법의 취지를 조직 내에서 누구보다 이행하려 노력하는 CPO 조직이 유출 사고 시 가장 먼저 타깃이 되는 현실이 안타깝다"고 토로했다.

그는 "개인정보보호위원회·과기정통부·방미통위 등 부처별로 요구하는 실태점검을 1년 내내 받게 되는 현상이 벌어지고 있다"며 개인정보위 중심의 점검 일원화를 요청했다.

윤 사무총장은 이어 "고위험 직무임에도 사고 발생 시 책임 부담이 커 조직 내 기피부서가 되는 경우가 허다하다"며 CPO 직무에 대한 제도적 처우 개선과 면책 체계 마련도 촉구했다.

이에 대해 고낙준 개인정보보호위원회 예방조정심의관은 운영 방식의 전환을 예고했다. 그는 "처벌은 정부만 할 수 있지만 예방은 다 같이 할 수 있다"며 "기업을 관리·감독 대상이 아닌 함께하는 대상으로 인식하는 것이 사전예방 정책의 전제"라고 말했다.

고 심의관은 이어 "일률적인 방식보다 위험에 따라 고위험·중위험·저위험으로 나눠 차등 점검하는 리스크 기반 체계를 구체화 중"이라며 "처리자의 자율적 예방 노력을 유도하는 방향으로 정책을 설계하겠다"고 밝혔다.

김승원 의원은 "더 이상 소 잃고 외양간 고치는 대응이 반복되어서는 안 된다"며 "오늘 논의가 사전예방 정책을 제도적으로 정착시키기 위한 예산·법제 정비로 이어질 수 있도록 국회 차원에서 뒷받침하겠다"고 밝혔다.

23일 서울 국회의원회관에서 열린 '사전예방 중심 개인정보 보호 체계 구축을 위한 토론회'에서 참석자들이 기념촬영하고 있다. [사진=윤소진 기자]
이정렬 개인정보보호위원회 부위원장이 23일 서울 국회의원회관에서 열린 '사전예방 중심 개인정보 보호 체계 구축을 위한 토론회'에서 발언하고 있다. [사진=윤소진 기자]
/윤소진 기자(sojin@inews24.com)

주요뉴스
alert

댓글 쓰기 제목 "사후약방문 그만…개인정보 보호체계, '사전예방' 중심으로 전환해야"

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중

뉴스톡톡 인기 댓글을 확인해보세요.

포토뉴스