쿠팡이 대규모 개인정보 유출 사태로 장기간 정부의 전방위 조사를 받고 있는 가운데 6일 충남의 한 쿠팡 물류센터 밖에 로켓배송 차량이 줄지어 서 있다. [사진 김성태 객원기자]

개인정보 유출 사고를 막기 위한 ‘징벌적 과징금’이 도입된다. 9월부터 과징금 상한이 전체 매출액의 3%에서 10%로 대폭 상향된다.

9일 개인정보보호위원회에 따르면 이 같은 내용이 담긴 개정 개인정보 보호법이 10일 공포돼, 오는 9월11일 시행된다. 개정안은 지난해 12월 국회 정무위원회를 통과한 뒤 지난달 국회 본회의, 이달 국무회의 의결을 거쳐 최종 확정됐다.

개인정보보호법 개정안 공포

한국소비자원 소비자분쟁조정위원회는 개인정보 유출 사고가 발생한 SK텔레콤에 보상 신청자들에게 1인당 10만원 상당을 지급하라고 결정했다. 사진은 서울시내 SK텔레콤 대리점 앞을 지나가는 시민들. [연합뉴스]

가장 큰 변화는 과징금 제도를 꼽을 수 있다. 지금까지는 전체 매출액의 3% 이하 범위에서 과징금을 부과할 수 있었다. 하지만 앞으로는 전체 매출액의 최대 10%까지 징벌적 과징금 부과가 가능하다. ▶최근 3년간 고의 또는 중대한 과실로 위반행위를 반복했거나 ▶1000만명 이상 대규모 피해를 일으킨 경우 ▶시정 명령을 이행하지 않아 유출 사고가 발생한 경우 등이 대상이다.

채찍과 함께 당근도 담았다. 개인정보 보호를 위한 예산·인력·설비·장치 등에 사전에 투자한 기업·기관에는 인센티브를 준다. 고의·중과실이 아닌 경우에는 이런 예방 투자를 과징금 감경 사유로 반영하도록 규정했다. 처벌은 강화하되, 평소 보호 체계를 갖춘 기업의 경우 사전 예방 노력을 인정하겠다는 취지다.

유출 통지 기준도 바뀐다. 지금까진 개인정보가 실제로 유출된 사실을 알았을 때만 정보 주체에게 통지하면 법적인 책임은 피할 수 있었다. 하지만 앞으로는 유출 가능성이 있다는 사실을 알게 된 경우에도 지체 없이 통지해야 한다. 사고 초기부터 이용자가 비밀번호 변경이나 금융거래 점검 등 필요한 대응을 할 수 있도록 하기 위해서다.

통지·신고 대상 범위도 넓어진다. 기존엔 분실·도난·유출 중심이었지만, 앞으로는 랜섬웨어 등에 따른 위조·변조·훼손도 ‘유출 등 사고’에 포함한다. 개인정보 유출 통지 시에는 손해배상 청구나 분쟁조정 신청 같은 피해 구제 방법도 함께 안내해야 한다.

개인정보 보호 최종 책임자는 CEO 

이정렬 개인정보보호위원회 부위원장이 서울 종로구 정부서울청사에서 열린 출입기자 간담회에서 발언을 하고 있다. [뉴스1]

경영진 책임도 무거워진다. 그동안 최고개인정보보호 책임자(CPO)에게 한정되던 관리·감독 책임을 최고경영자(CEO)에게도 부과한다. 일정 규모 이상의 개인정보처리자는 CPO 지정·변경·해제 시 이사회 의결을 거치고 개인정보보호위원회에 신고하도록 의무화했다. 또 CPO가 개인정보 보호에 필요한 전문 인력 관리, 예산 확보 업무를 수행하도록 하고 대표자·이사회에 개인정보 보호 관련 사항을 보고하도록 규정했다.

개인정보 보호 인증(ISMS-P 인증)도 의무화한다. 기존엔 공공·민간 분야에서 파급력이 큰 주요 기업·기관만 자율적으로 ISMS-P 인증을 도입했다. 하지만 2027년 7월 1일부터는 ISMS-P 인증을 반드시 거쳐야 한다.

ISMS-P는 기업이나 기관이 구축한 정보보호 및 개인정보 보호 관리 체계가 적절한지를 평가하는 인증제도다. 개인정보위원회 관계자는 “기업·기관이 스스로 보호 수준을 점검하고 체계를 갖추도록 하기 위한 제도”라며 “구체적인 의무 대상 기업의 범위는 향후 시행령 개정 과정에서 정해질 예정”이라고 설명했다.