개인정보 안전관리체계 강화방안 브리핑

안녕하십니까? 개인정보보호위원회 부위원장 최장혁입니다.

우리 위원회에서는 지난 4월 발생한 SKT 고객정보 유출 사고와 같은 국민 생활에 큰 영향을 미치는 대규모 개인정보 유출 사고를 예방하기 위하여 개인정보 안전관리체계 강화 방안을 마련하였습니다.

개인정보 안전관리체계 강화 방안은 지난 SKT 고객 유출 사고에서 드러난 제도적·기술적 미비점을 우선적으로 보완하는 한편 사고 발생 후 새로운 규제를 양성하는 사후 땜질식 처방으로는 급변하는 해킹 기술에 대응하기 어렵다는 문제의식을 기반으로 기업이 보다 적극적으로, 선제적으로 안전조치 취할 수 있도록 인센티브 중심 체계로 전환하는 거를 핵심으로 하고 있습니다.

이를 위해 지난 5월부터 개인정보위 내 전담반을 구성하고 각계 의견 수렴 및 국내외 자료 조사 등을 통해서 현행 규제 시스템의 문제점과 기업의 인식, 관행, 예산·인력의 투입, 투자 규모, 피해자 권리구제 실효성 등을 종합 점검하고 다음과 같은 개선 방안을 도출하였습니다.

현안 및 개선 방안입니다.

먼저, 사후 제재를 중심으로 하는 현행 규제 시스템은 기업이 보다 적극적인 보호조치를 해야 할 제도 유인이 부족한 게 현실입니다. 이에 사고 발생 시 엄정한 체제... 제재의 기조를 유지하면서도 평소 선제적·적극적인 보호 활동을 한 기업에게는 처벌 경감 등의 인센티브 제공을 강화함으로써 사전적 예방을 중심으로 하는 개인정보 안전관리체제로 규제 패러다임을 전환하는 것을 추진하고자 합니다.

또한, 국내 기업의 개인정보 보호 관련 투자 규모는 주요 선진국과 비교할 때 아직 낮은 수준인 게 사실입니다. 이에 기업 최고경영자들의 책임성을 강화하고 개인정보 보호에 대한 인적·물적 자원의 투자 확대를 추진하고자 합니다.

아울러, 대규모 유출 사고를 근절하기 위한 엄정한 조사 처분 체계를 더욱 강화하는 한편, 유출 사고 피해자의 권리구제를 보다 실질화할 수 있는 다양한 정책과제를 발굴하여 추진하고자 합니다.

세 번째, 추진 과제입니다.

우리 위원회는 앞서 말씀드린 개선 방안에 따라 국민 신뢰를 받는 개인정보 안전관리체계 조성을 목표로 총 3개 부분, 12개 중심... 중점 추진 과제를 도출하였으며 그 자세한 내용은 다음과 같습니다.

첫 번째로, 유사 사고 예방을 위한 선제적 제도 개선을 추진하겠습니다.

외부 노출 취약점 제거, 이상 징후 탐지 등 선제적 조치와 다크웹 탐지 등을 통한 2차 피해 예방 활동을 강화할 계획이며 선제적·적극적 보호조치를 한 기업에 대해서는 과징금 경감 등 인센티브를 제공할 수 있도록 체계를 정비할 계획입니다.

아울러, 개인정보 관리체계 인증제도 ISMS-P의 현장 실사 및 사고 기업 사후 관리를 강화하는 한편, 장기적으로는 핵심 공공시스템, 이동통신서비스 등 대상 단계 의무화 및 전반적인 인증품질 개선 향상을 위한 제도 개선도 함께 추진할 계획입니다.

두 번째, 기업이나 공공기관 내에서 상시적으로 전사적인 차원의 개인정보 보호가 이루어질 수 있도록 내부통제 강화 정책을 또한 추진하겠습니다.

우선, 기업이나 공공기관이 개인정보 보호 분야의 인력 개선이 확대될 수 있도록 구체적 기준을 제시하고 기준을 충족하기 위한 노력 등 여부에 따라서 평가 가점 등 다양한 인센티브를 제공받을 수 있는 방안을 검토하여 추진하겠습니다.

또한, 기업 최고경영자에게 내부통제에 대한 최종적 책임이 있음을 명확히 하여 개인정보 보호가 일부 정보화 부서의 업무가 아니라 기업 전체의 기본적 책무로 인식을 전환하고 실제적 관리주체인 개인정보 책임자는 자율성과 책임성을 갖고 업무를 수행할 수 있도록 법적 권한과 역할을 강화하겠습니다.

세 번째, 반복되는 개인정보 유출 사고에 대해서는 보다 엄정한 제재를 통해 경각심을 가지도록 하고 피해자의 권리구제 실질화를 추진하겠습니다.

같은 방식에 반복적으로 해킹을 당하는 등 개인정보 유출 사고가 반복되는 기업은 과징금 가중 등, 가중 등을 통해 상응한 책임을 부과하도록 하고 징벌적 과징금 통해서도 제도적으로 검토하도록 하겠습니다. 또한, 개인정보보호법 위반에 따른 과징금을 실제 유출 사고 피해가... 피해구제에 활용되는 등의 피해구제 강화 방안을 검토하여 관계부처 등과의 추진을 통해서 추진하도록 하겠습니다.

그 밖에도 시장 감시 등 권리구제 지원을 위한 개인정보 옴부즈만을 설치하는 한편, 다양한 보험상품 개발을 개선 유도하여 손해배상 보장 제도를 내실화·유연화하는 등 자율적 피해구제 확산을 지원할 계획입니다.

마지막으로, 우리 위원회는 이번에 발표한 개인정보 안전관리체계 강화 방안이 산업 현장에 실질적으로 적용될 수 있도록 사업자 설명회 및 의견 수렴을 통해서 인센티브 등 이해 가능한 합리적 기준을 명확히 설정하고 기준 미준수에 따른 유출 사고 발생 시 엄정 제재하는 등 후속 조치를 차질 없이 추진할 예정입니다.

아울러, 이번 사고를 계기로 대규모 개인정보를 처리하는 사업자들이 개인정보 보호를 위한 투자를 불필요한 비용이 아니라 고객의 신뢰 확보를 위한 기본적 책무이자 전략적 투자로 인식하기를 바라며 이를 통해 개인정보 보호에 대한 국민적 신뢰가 확산되기를 기대합니다.

감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 말씀 잘 들었습니다. 인센티브와 동시에 반복적으로 사고가 일어나는 기업에 대한 엄정한 경각심을 일깨울 수 있는 방법으로 과징금에 대한 가중 그리고 중장기적으로 징벌적 과징금에 대해서 언급하셨는데요. 물론 징벌적 과징금은 정책 연구를 실시하겠다, 정도로 지금 발표를 하셨는데 이렇게 되면 지금 과징금 체계나, 산정 체계나 기준을 바꾸는, 어느 정도 강화되는 과징금 체계를 생각하시는 건지 조금 더 구체적으로.

<답변> 지금, 사실 지금 과징금 부과 체계도 우리 여러 가지 가중이나 감경 제도가 있습니다. 그래서 그런 기존에 있는 가중·감경 제도도 좀 더 적극 활용하고 예를 들면 감경 요소에서 가중 요소를 할 때 여러 반복적인 해킹 사례들을 좀 더 가중 요소를 가동하면 지금도 어느 정도 효과를 거둘 수 있다 보고 있고요.

아까 말씀드린 그런 징벌적 제도는 다른 법률과의 관계 이런 게 있기 때문에 그거는 우리가 제도 연구를 통해서 좀 장기적으로 추진하고 지금 현 단계에서도 현재의 가중·감경 제도를 적극적으로 활용하면 충분히 저희가 어느 정도 예상되는 효과를 거둘 수 있다고 말씀드릴 수 있겠습니다.

<질문> 과징금을 실제 유출 사고 피해자 구제에 활용하는 방안을 검토·추진한다고 돼 있는데 이거를 구체적으로 언제까지 할 계획인지 궁금하고요. 이거는 법률 개정 사안이 될 듯한데 연내 개정안 마련할 계획인지 아니면 중장기적으로 검토하는지, 그리고 이거 관련해서는 기금을 운용하는 방안이 가능할 텐데 이럴 경우에는 기금 운용 규모는 어느 정도로 예상하는지 궁금하고요.

두 번째 질문은 개인정보 보호를 위한 조치를 한 기업에 대한 인센티브 제공한다는 내용에서 구체적으로 어느 수준의 인센티브를 제공할 계획인지 궁금하고요.

그리고 관련해서 최근 KT, 유플러스 같은 통신사나 이런 기업들이 신고를 안 해서 문제가 있는데 이렇게 사이버 공격을 받고 개인정보 유출 정황이 있는 기업들이 신고를 꺼릴 경우에 대한 대비책, 예를 들면 지금처럼 사회적 혼란이 커질 경우에 개보위가 일종의 수사권을 갖춘다든지 할 계획이 있는지 궁금합니다.

<답변> 질문 여러 개 해 주셔서, 첫째, 언제까지 기금화 문제를 말씀드리면 이게 사실 기금화 문제, 기금화도 포함해서 저희 지금 실질화는 밟고 있는데 제일 큰 배경이 피해... 기업과 국민들이 피해를, 국민들의 우리 지금 과징금이 전혀 관련 없는 데 서로 지금 일반 정부 예산에 포함되는 이 부분, 출발점을 거기서 시작했고, 사실 기금화 부분은 기재부하고 협의를 해봐야 되는, 기재부 기금관리법의 관련 소관 문제기 때문에.

그래서 기금화 문제를 포함해서 실제적으로 피해받는, 그게 예를 들면, 우리가 지금 사전 동행 제도라고 공정위 제도가 있는데 예를 들면 기업이 미리 과징금을 내기 전에 개인정보위하고 협의를 해서 우리가 의결을 통해서 하면 미리 선제적 투자를 하면 그 부분에 대해서 우리가 과징금에서 조금 반영해 주는 이런 부분, 제도도 있습니다.

그래서 아까 기금화 문제는 굉장히 타 부처와의 굉장히 복잡한 관련성이 있는 문제고 타 부처의 어떤 규정을 거쳐야 되는 문제가 있죠. 우리, 아까 말씀대로 우리 내부적으로 미리 이행 동행 제도 이런 것들을 활용하면 개인정보 투자나 예방 조치를 한, 과징금 낼 돈으로 미리 기업들이 투자를 하기 위해서는 거기에서 과징금에서 조금 감해 주는 그런 제도들 우리 내부적으로 할 수 있게끔 포함해서 검토하도록 하겠습니다.

그렇게 하시고, 인센티브는 가장 기본적으로 말씀드린 대로 투자한 기업에 대해서 조금 미리 우리 과징금을 감한, 감해 주는 부분도 있고, 그다음에 좀 장기적으로 보면 제가 예전에 부위원장 처음 되고 생각이 조금 세제실하고 이렇게 협의를 하면, 지금 워낙 해킹 사고가 국가적인 과제가 돼 있잖아요.

그리고 해킹으로 인한 피해가, 사실 중요 국가 데이터나 국가 시설에 해킹이 되면 굉장히 국가적인 과제기 때문에 이런 부분을 조금 세액 확대를, 확대하는 부분도 한번 기재부와 협의를 해볼 시점이 되지 않았나, 생각하고 있습니다. 그거는 조금 장기적으로 검토하고 있고요.

그다음에 아까 유출 늦은 부분은 사실 기업들에도 유출을, 유출의 판단이 조금 어려운 부분이 있을 수는 있지만 그래서 우리가 유출 관련 제도를 개선하려는 그런 생각을 하고 있고 그래서 기본적으로 유출이 확인됐을 때 빨리 신고할 수 있는 그런 제도를 강화할 생각이고, 그런 부분을 하여튼 우리 제도도 지금 준비를 하고 있습니다.

<질문> 백화점식으로 이렇게 정책을 나열해서 질문이 많은데 일단 두 가지만 하겠습니다. 첫째는 숫자인데요. 지금 CPO 지정 의무 기관이 나와 있는데 현재 몇 개가, 우리가 지금 대한민국에 CPO 지정 의무 기관이 몇 개며 그리고 법에 따라 현재 몇 개가 있는지 궁금하고, 숫자는 궁금하고요.

그다음에 대책 중에 사와 CEO와 CPO 부분이 있는데 저희가 늘 발생하면 선제적 대응을 패러다임 바꾼다고 하셨으니까 CPO의 책임과 CEO의 권한 문제인데, 여기 보면 CEO의 권한이 책임을 명확화한다는 워딩만 있고 명확화가 어떤 건지 구체적으로 안 나와 있거든요. 그래서 CEO의 책임 명확화, 그다음에 CPO...

<답변> CPO 말씀하시는, CEO·CPO 말씀하시는 거예요?

<질문> 네, 일단 대책이...

<답변> 구분해서?

<질문> 네, 여기 보면 3페이지 보면 CEO 책임을 명확화하겠다고 돼 있거든요. 그런데 명확화만 돼 있고 명확화가 뭔지 궁금하고요.

그다음에 CPO 권한도 확대해서 저희가 받은 자료 봐도 '지정신고제 도입, 연 1회 이사회 보고, 그다음에 직무 여건 보장 등' 이렇게 법적 권한과 요건을 강화한다고 그랬는데 아무래도 또 CPO도 있고 CISO도 있잖아요. 이것 가지고 CPO가 늘 얘기하는 게 권한을 가지고 행사할 수 있게 해 달라는 게 그동안에 민간의 요구였는데 이 지금 마련하신 대책 가지고 그동안 얘기한 게 충분히 소화가 될지.

<답변> 구체적인 숫자는 우리 조사국장이 답변하도록, 제가 개략적인 것만 말씀을 드리면 얼마 전에 모 유사 통신사에서 사고 났을 때 그룹 회장님께서 '이게 개인정보 보호 문제가 일부 IT 사람들의 문제인 줄 알았는데 이게 전사적 문제를 깨달아...' 이런 말씀을 하신 적이 있어요. 이런, 이게 이런 인식의 전환이 가장 중요하다고 생각합니다.

그래서 CEO께서, 사실 저희가 CPO가 예전에 법을 개정할 때 CPO가 이사회나 대표이사에 보고하는 이런 채널을 갖도록 했는데 그게 또 조금, 저희가 규제 관련 일을 하다 보니까 조금 기업이 부담이 된다 그래서 지금 이사회만 보고하는 걸로 돼 있는데 그런 부분도 강화하면서, 그러니까 CEO를, 솔직히 개인정보보호법에서 이걸 CEO 책임을 개인적으로 바로 강화하는 방법을 지금 바로 모색하기는 어렵지만 이번에 모 통신사의 사례가 굉장히 여러 기업의 최고경영자들이 굉장히 개인정보 보호 책임... 개인정보 보호가 단순히 IT 부서나 CPO의 업무가 아니라는 인식을 확산한 굉장히 중요한 기업이 됐습니다.

실제로 저 개인적으로도 그룹 차원에서 어떻게 하면 좋은, 이런 충고를 아니, 조언을 부탁하는 데도 있어요. 그러다 보니까 이 중요한 좋은 계기를 저희가, 우리가 잘 살리면, 그러니까 주로 가장 중요한 게 최고경영자, C 레벨이었던 경영자들이 개인정보 문제를 전사적 문제로 인식하도록 하고 이걸 통해서 저희가 해서 주로 CEO나 C 레벨 교육도 강화하고 홍보도 강화하는 방안을 하고 있는데 조금 더 구체적인 내용 우리 조사국장님께서 답변하는 걸로 해서...

<답변> (양청삼 개인정보정책국장) 정책국장 답변드리겠습니다. 아까 일단 전문 CPO 지정 기관과 관련해서는 전문 CPO 지정 의무를 지고 있는 기관은 그럼 공공·민간 합쳐서 약 700군데 정도 되고요.

주요 대상들이 100만 명 이상의 개인정보를 처리하고 있는, 그리고 매출액 1,500억 원 이상의 어떤 기관들이 일부 지정이 돼 있고 그리고 상급종합병원, 50여 개의 상급종합병원이 있는데 상급종합병원들이 지정이 되어 있고요.

그리고 2만 명, 재학생 2만 명 이상의 대학, 종합대학들, 그리고 또 공공 분야의 건보공단이라든지 심평원이라든지, 또 주민등록번호 관리시스템이라든지 굉장히 주요 시스템들을 관리하는 공공기관들이 있습니다. 약 50여 개가 있는데 그 50여 개의 주요 공공기관들이 지정돼서 총 700여 개 정도 전문 CPO 지정 의무가 있고요.

그리고 아까 CEO의 어떤 책임과 관련해서는 개인정보처리자, 기관이나 기업의 입장에서 개인정보의 처리와 보호와 관련된 최종 책임이 있는 부분들은 CEO에 있다는 부분을 개인정보보호법 개정을 통해서 명문화를 할 생각이고요.

그런 CEO의 개인정보 처리와 보호와 관련된 전반적인 책무를 실제 임원 레벨에서 이행하는 것이 개인정보보호책임자가 되겠고, 현재는 개인정보보호책임자의 지정 의무와 역할만 법에 규정돼 있는데 임원의 자격 요건도 조금 더 구체화하고, 그리고 CPO가 실질적으로 IT뿐만 아니라 서비스의 코어망, 코어에 대해서도 폭넓게 전반적으로 접근할 수 있는 실질적인 권한이 부여될 수 있도록 이사회의 보고 의무랄지 그리고 CPO의 임명과 관련해서도 일정한 절차를 둔다든지, 이런 부분들을 법률 개정 및 시행령 개정을 통해서 보완을 함으로써 CPO가 명실상부하게 기관, 기업 내에서 개인정보 처리와 보호와 관련된 담당자로서의 역할을 할 수 있도록 할 생각입니다. 이상입니다.

<답변> 참고로 제가 조금 더 말씀드리면, 제가 그래서 저희가 주로 CPO들하고 많은 업무를 하고 있고요, CISO는 약간 보안 쪽에서. 그렇지만 CPO, CISO 업무가 많이 서로 겹치는 부분이 또 동전의 양면 측면에서 제가 내일 CISO 협의회를 통해서 오늘 소개해 드린 이 제도를 설명드리고, 또 실제적으로 보완할 수 있는 부분들이 지키기가 어려운 거를 우리가 들어보고 우리 안전조치 같은 게 CISO하고 CPO하고 겹치는 부분이, 그래서 안전조치를 할 때 어떤 부분이 어려운 점인지를 실제로 내일 들어보고 우리는 또 이 대책, 추가적으로 나중에 반영할 생각입니다.

<질문> 오늘 내용에 과징금 산정하는 과정에서 인센티브나 가중하는 방안 포함돼 있는데 그럼 현재 조사 중인 yes24나 통신사들에 대해서도 이 방안이 적용되는 건지 궁금하고요.

그리고 최근에 사고가 난, 오늘 발표 자료에서도 'ISMS-P 인증을 강화하겠다.' 이런 내용이 있는데 최근 사고 난 것들에서도 인증받은 곳들이 많아서요. 구체적으로 어떤 점에서 허점이 있었던 건지 듣고 싶습니다.

<답변> 제가 아까 말씀드린 대로 새로 지금 조사하는 업체들에 대해서도 해킹이 반복적으로 일어나는 업체에 대해서는 아까 말씀, 저희 지금 현재 제도로도 가중할 수 있기 때문에 그건 당연히 적용해서 그런 어떤 해킹의 반복으로 인한 처벌 사례는 지금 현재 제도로써 가중이 충분히 가능한 상황이고요. 그리고 말씀드린 대로 그거를 엄중하게 처분할 생각입니다.

ISMS-P를 받은 데서 사고가 난 게 저희도 굉장히, 굉장히 유감스럽지만 특히 이번 사건을 보니까 이게 저희 조금 제도적 맹점이 ISPMS... ISPMS를 본인들이 선택한 부분을 받을 수 있었어요.

그런데 최근에 모 통신사는 주로 ISMS-P를 받은 부분이 어떤, 그러니까 앱, 웹 서비스, 예를 들어 고객 서비스 위주로, 실제로 네트워크 서비스는 안 받았기 때문에, 사실 주요 해킹 사고는 네트워크 부분이 안 받았기 때문에, 그래서 앞으로 우리가 제도 개선을 이렇게 네트워크처럼 중요한 장비에 대해서는 ISMS-P를 선택적으로 할 수 없고 꼭 하도록 이런 제도를 강화할 생각입니다.

<질문> CEO의 최종책임자로서 의무를 명문화하겠다고 하셨는데 그러면 이게 징계 같은 것도 어느 정도까지 가능한 건지, 그리고 이거를 2026년 상반기라고 돼 있는데 CPO와 2개 묶여서 돼 있거든요. 둘 다 2026년 상반기 내에 명문화를 추진하고 계신 건지, 그리고 CEO를 만약에 책임을 명문화해서 징계가 가능하다면 최근에 말씀하신 통신사 사례를 볼 때 어느 정도까지, 이건 중대했으니까요. 어떻게 생각하시는지 궁금합니다.

<답변> 사실 CEO가 회사 인사권자이기 때문에 인사권자가 자기를 징계한다는 거는 사실 약간 법률적으로 문제가 있는데 제가 이런 말씀, 제가 2020... 2000... 재작년에 저희 2차 개인정보법 개정을 할 때 사실 지금 원래 CPO나 그런 개인정보처리자의 형사벌을, 형사벌을 면제하고 과징금을 강화, 경제벌로 이렇게 전환시키는 것 아닙니까? 그때 전환한 이유가 중간 레벨의 개인정보책임자를 형사 처벌해 봤자 CEO들이 관심을 안 가지는 거예요.

여러분, 이게 지금 대비되는 게 중대재해처벌법인데 중대재해처벌법은 거꾸로 갔죠. 사실 CEO에 대한 처벌을 바로 했는데, 이게 뭐냐 하면 우리 개인정보법을 가지고 바로, 그때까지는 CEO를 처벌하는 게 어려운 상황이고 그래서 이게 과징금을 굉장히 전체 매출 3%로 가중한 이유가 결국 CEO의 관심을 끌기 위한 겁니다.

아까 중대재해법이 전혀 다른 반응 같지만 중대재해법은 CEO를 직접 처벌하면서 굉장히 CEO가 산업안전에도 관심을 가지게, 마찬가지로 우리 개인정보보호법은 사실 기업에서 매출액 3%는 엄청난 액수 아닙니까? 그러면서 CEO의 관심을 결국 유도하는 거예요. 그래서 이게 지금 사실 이번에 모 통신 사례도 보셨지만 엄청난 과징금이 나가면 CEO가 관심을 안 가질 수가 없어요.

사실 자본주의 사회에서 형사벌보다 더 어려운 게 무서운 게 경제벌입니다. 그렇기 때문에 이 제도가 어느 정도 적용... 이번에 아까 말씀, SK 사태로 모든 CEO들이 개인정보 보호 문제가 단순히 IT나 개인정보 처리의 문제가 아니라 회사의 전체적인, 본인들 문제라고 인식하는 계기가 됐기 때문에 아마 충분히 형사벌까지 안 가더라도 저희 제도 내에서 생각할 수 있다고 보고, 그리고 그건 이제 조금 법리적으로 복잡한 문제기 때문에 그거는 그렇게 쉽지는 않아 보입니다.

<질문> 최근에 CEO와 CISO 겸직 제한하는 법 고려하지 않고...

<답변> CISO하고 CPO?

<질문> 네, 고려하지 않고 있다고 밝힌 걸로 아는데 지금도 여전히 입장이 같은지 여쭤보고 싶습니다.

<답변> (양청삼 개인정보정책국장) 논의하는 과정에서 그런 많은 CPO, CISO, 또 많은 업체들하고 관계부처 논의 중에 있는데 그런 겸직 제한에 대해서는 구체적인 검토라든지 그런 얘기를 다룬 경우는 거의 없습니다. 그거는 좀 언론의 잘못 취재된 보도 내용 같습니다.

<답변> 개인적으로도 사실 CISO하고 CPO를 딱 업무적으로 나누긴 어렵고, 그리고 사실 그 두 분야가 힘을 합쳐야 되는 부분이에요. 그렇기 때문에 굳이, 지금 상황에서 굳이 엄격하게 겸직 제한을 둘 이유는 없다고 개인적으로 생각하고 있습니다.

조금 더 발전하고 CPO나 CISO가 조금 더 업무가 발전해서 그런 여건이 성숙되면 그때 한번 고려해 볼 부분이지, 지금은 사실 업무가 혼재된 부분도 많고 사실, 그리고 또 전문 인력이 그렇게 많지가 않아요. 그래서, 그러니까 굉장히 그 부분에는 오히려 전문 인력 구하기 어려워지는 인력난이 오죠. 굉장히 있기 때문에 오히려 기업이 그거를 구분하면서 개인정보 관리가 약화될 수가 있습니다. 그래서 아직은 조금 시기상조라는 것 말씀드리겠습니다.

<질문> 인증 다시 한번 중요해서 묻겠는데요. 아까 인증 개선안 고도화·선진화라고 저희가 하지만 결국은 강화되는 건데, 사고가 발생해서. 조금 더 자세한, 계속 저희들은 인증을 받았는데 왜 사고가 났냐, 또 앞으로 국회에서 물어볼 것 같은데 이게 인증을 개선 이렇게 방안 내주셨는데 그러더라도 또 사고가 사실 이게 그것만으로 100% 막을 수가 없는데 그게 또 일반 국민들한테도 그렇고 그게 인증이 100% 막는 게 아니라는 것도 조금 국민적 계몽이 필요할 것 같고요, 국회의원들도 마찬가지고. 그래서 어쨌든 강화는 해야 되니 좀 더 강화안을 얘기해 주시고요.

그다음에 심사원 양성도 있고, 그다음에 대학교 석박사 과정도 있는데 우리가 ISP 인증, 대학교 아마 다른 부처 보면 여러 가지 인더스트리별로 대학원 석사 과정 그런 과정이 있는데 언제 그러면 이게 석박사 과정이 올해 탄생하는 건지, 내년부터 하는 건지, 인증 강화안의 자세한 강화 방안과 그다음에 인력 부분을 조금 더 자세한 설명 부탁하겠습니다.

<답변> 제가 개략적인 것 말씀드리고 자세한 건 우리 정책국장이 말씀드리고, 사실 우리 영향평가도 그렇고 ISMS-P 이게 이런 인증이 굉장히 이 인증을 받은 업체들이 사실 개인정보 보호에 앞서 있다는 걸 인증하는 거지만 이게 사실 제도적으로 아무리 완벽한 제도를 만들어도 이거를 완벽하게 해킹으로부터 사실 막기는 쉽지 않은 겁니다.

그래서, 그렇지만 저희가 지금의 제도를 좀 더 보완해서 될 수 있으면 가능한 한 ISMS-P 인증을 받으면 최소한 드러나 있는 위험으로부터는 기업이 보호됐다, 이런 걸 강화할 생각하고 있고요.

그다음에 전문가 문제는 개인정보보호원이 이번에 전문가 양성을 위해서 약 예산당국에 30억 정도의 예산을 따서 사실 석박사... 여러분, 지방을 가보면 저희가 사실 개인정보 보호 전문가들이 별로 없어요.

그래서 사실 지방에서 요즘 개인정보 유출 사고에 대학병원, 또 대학에서도 많이 일어나는 이유가 지방에서 그런 어떤 개인정보 보호 인력을 구하기 어려운 분야가 있기 때문에 저희가 금년에 확보한 30억 예산으로 여러 대학을 통해서 개인정보 인력을 확충하다 보면 이런 여건이 좀 더 되고 아까 말씀드린 대로 좀 더 ISMS-P 제도도 보완하면 좀 더 개인정보 보호를 잘 할 수 있다고 생각하고, 좀 더 구체적인 내용은 우리 정책국장이 설명하도록 하겠습니다.

<답변> (양청삼 개인정보정책국장) 일단 ISMS하고 ISMS-P 제도에서 말씀드리면 일단은 그 팩트부터 약간 짚게 되면 이번에 통신 3사 같은 경우에 ISMS하고 P 현황이 어떻게 되냐 하면 기본적으로 통신 3사의 기본 코어와 네트워크망에 대해서는 ISMS, 이건 정보보호 관리체계입니다. 그래서 시큐리티 관련된 인증은 의무화가 돼서 여기는 과기정통부 소관이고요.

그래서 코어 통신망에 대해서는 ISMS가 받은 상태였고 ISMS-P는 개인정보 보호 관리체계 해서 개인정보를 수록하고 있는 DB라든지 파일 그리고 그걸 취급하는 개인정보 취급자에 대한 전반적인 접근 통제, 권한 관리 쭉 하는 그런 체제로 돼 있어서 과기정통부가 담당하는 ISMS와 그리고 개인정보위가 담당하는 P가 결합돼서 ISMS-P 제도를 이루고 있고요.

통신 3사 같은 경우는 아까 ISMS-P를 받은 것은 아니고 기본적으로는 ISMS를 받고 있고 T월드라든지 고객 관리하는 사이트들 중심으로 해서 SKT나 KT도 받은 상태여서 이제 ISMS-P를 전사적으로 받은 것은 없다, 라는 거고요.

그런데 최근에 롯데카드가 최근에 언론 보도에 많이 문제가 되고 있는데 롯데카드는 ISMS 인증 의무 대상은 아닌데 일단 ISMS-P를 8월에 취득하고 곧바로 유출 사고... 관련된 개인정보 이슈가 있어서 사실 조사하고 관계당국에서 보고 있는데요.

보게 되면 기본적으로 아까 방 기자님께서 잘 언급해 주셨지만 ISMS와 ISMS-P는 이거를 인증했을 적에 전혀 무결합니다, 사고가 날 위험이 없다, 이걸 보증해 주는 게 아니라 공공기관이나 기업에서 개인정보 보호를 잘 관리할 수 있는 체제·역량·시스템이 갖춰 있다, 어떤 이런 부분들을 확인하는 제도기 때문에 ISMS나 ISMS-P를 받았다고 해서 사고가 일어나는 것은 아닙니다.

나는 것은 아닌데, 지금 또 ISMS, 그렇지만, 그렇다 한다 하더라도 어떤 체계, 시스템이나 체계를 인증한다 하더라도 국민의 감정상에는 ISMS-P를 이렇게 인증을 했는데 자꾸 사고가 나는 것은 또 이게 문제가 되는 측면도 있어서 저희들이 위험 관리에 대해서, 예를 들어서 ISMS 인증 과정에서 여러 문제들이 나타나는데 이 여러 가지 문제가 되는 그 잔여 위험 요소에 대해서 지금까지는 회사 쪽에서 일정하게 잘 잔여 위험을 수용하거나 또는 이 잔여 위험에 대해서 추후 단기, 중기, 장기에 걸쳐서 보완 계획을 마련하게 되면 이거를 인증을 결함이 해소됐다는 걸로 판단하고 인증을 발급해 줬는데 이 절차를 조금 더 강화해서 개인정보 유출 사고와 직결되는 핵심 통제 항목들이 있습니다.

패치 관리라든지 접근 통제라든지 취약점 점검이라든지 등등 인증심사 101개 항목 중에 핵심 통제 항목들이 있는데 이 핵심 통제 항목들을 심사 과정에서 기준에 미달하게 되면 예비 심사 과정에서 한번 파악을 하고요.

그래서 예비 심사 절차를 둬서 핵심 통제 항목에 대해서 현저히 기준이 미달하는 게 확인된다고 하면 지금처럼 이거를 위험을 수용하거나 보완 계획을 마련하는 걸 토대로 해서 그냥 인증서를 발급해 주는 게 아니라 이 부분에서는 실체적인 보완을 하고 인증서를 발급하는 체제로 바꿔 나가려고 하고요.

그래서 현재의 인증심사 단계에서 예비 심사 단계를 하나 더 두게 되고요. 그리고 사후 심사, 그러니까 1년마다 이행 점검을 받게, 사후 관리를 받게 돼 있는데 중대사고 발생 시에는 사후 심사 절차도 철저히 해서 경우에 따라서는 인증서도 법령에 따라서 취소할 수 있도록 하는 이런 형태로 하고 있고요.

지금 과기정통부하고 금융위원회하고 논의할 앞으로의 과제 중에는, 논의 중인 과제 중에는 인증위원회의 역할 강화라는 부분하고, 그리고 통신 인프라하고 주요 공공시스템에 대한 ISMS-P 인증 의무화 이런 부분들을 지금 본격적으로 검토하고 있어서 정책 연구 중입니다.

그래서 이 정책 연구 결과를 바탕으로 해서 일부 분야에 대해서는 단계적으로 ISMS-P 의무화도 지금 추진해 나갈 예정이고 이 내용은 법률 개정 사항이어서 빠르면 내년 상반기 그리고 내년 하반기까지 관련 법안이 제출될 수 있도록 할 예정입니다. 이상입니다.

<질문> (온라인 질의 대독) 시간 관계상 지금 문자메시지로 들어와 있는 질문이 하나 있어서 이 질문에 대한 대답 듣고 마무리하도록 하겠습니다. 내용이 조사 사건이고 오늘 브리핑 주제하고 조금 달라서요. 조사국장님이 대신 대답해 주시는 게 좋을 것 같습니다.

뉴시스 기자님한테서 들어온 질문입니다. KT와 LG유플러스 건 조사에 착수하셨는데 현재 진행 상황과 향후 과정이 궁금합니다.

아울러, 실질적인 이용자 피해가 드러난 KT와 달리 LG유플러스 건은 어떤 문제점을 발견해 조사를 시작하셨는지 궁금합니다. 이상입니다.

<답변> 우리 조사국장 답변하시기 전에 제가 잠깐 말씀드리면 사실 작년에 LG유플러스 사건을 하면서 사실 통신사의 개인정보 처리가 유사할 것 같아서 사실 저희가 KT나 SK를 사실 사전 조사를 한번 나가려고 그랬었어요. 그런데 그게 굉장히 아쉽지만 여러분 아시다시피 저희 인력이, 조사 인력이 지금 40~50명이 전, 지금 전 산업 플러스 공공기관, 외국기업 다 커버하지 않습니까? 그래서 지금 우리 SKT가 터지고 나서 사실 다른 조사를 못 했어요, 이번에.

그런 이유로 해서 저희가 인력의 어떤, 인력 자원의 한계로 미리 사전점검 비슷한 조사를 못 한 게 굉장히 아쉽지만 하여튼 저희 나름대로 노력을 했고 구체적인 차이점에 대해서 우리 조사국장님이 설명하도록 하겠습니다.

<답변> (남석 조사조정국장) 저희가 그 보도 참고자료는 몇 차례 배포를 해드려서 기자님들 전반적인 내용은 아시고 계실 것 같은데요. LG유플러스하고 KT 관련해서 해외 보안매체의 지적이 있었고, 그리고 또 민원 접수도 있어서 저희가 자료 제출 요구를 해서 사실관계 확인을 하고 있었고요.

그 과정에서 소액 결제 피해가 있어서 그 부분에 대한 자료 제출 요구도 같이 해서 보고 있던 과정이었고 국민적이고 사회적인 우려가 커서 저희가 어제 자로 정식 조사로 전환했다, 라는 말씀을 드리겠습니다.

저희가 그동안 자료 제출 요구받아서 들여다보고 있었던 부분이 있고요. 그리고 유관기관들, 경찰이라든지 과기정통부하고도 긴밀하게 공조해서 최대한 신속하고 정밀하게 조사 진행할 수 있도록 하겠습니다. 감사합니다.

<답변> (사회자) 추가적인 질문이 또, 오늘 브리핑 주제와 관련해 질문이 없으시면 이것으로 마무리하도록 하겠습니다. 참석해 주신 기자님들께 감사 말씀드립니다.

<답변> 감사합니다.

<끝>