[뉴스토마토 전연주 기자] 개인정보보호위원회(개보위)가 다음 달부터 개인정보 처리 분야를 위험도에 따라 나눠 차등 점검합니다. 개인정보 유출 사고가 발생한 뒤 조사·처분하는 방식에서 벗어나, 침해 위험이 큰 분야와 시스템을 먼저 들여다보는 사전 예방 중심 관리체계로 전환하겠다는 취지입니다.
고낙준 개보위 예방조정심의관은 22일 브리핑에서 "오는 6월부터 개인정보 처리 규모, 민감도, 산업별 특성을 고려해 개인정보 처리 분야를 고·중·저 위험군으로 구분하고 차등적 점검과 관리를 실시할 계획"이라고 말했습니다.
고낙준 개인정보보호위원회 예방조정심의관이 22일 정부서울청사에서 '예방중심 개인정보 관리체계 전환 세부 추진 계획'에 대해 브리핑 하고 있다. (사진=개인정보보호위원회)
고위험군은 대규모 개인정보를 보유하거나 고유식별정보·민감정보를 처리하는 분야가 중심입니다. 개보위는 고위험군에 해당하는 분야를 사전에 공개한 뒤 정기·수시점검을 실시하고, 개인정보보호책임자(CPO)를 중심으로 한 내부 운영 실태를 중점적으로 살펴볼 방침입니다.
올해는 대형 플랫폼, 금융기관, 공공기관, 에듀테크, 요양병원 등 대규모 개인정보 또는 민감정보를 처리하는 분야를 중심으로 실태 점검을 추진합니다. 고 심의관은 "고유식별정보나 민감정보, 아동·청소년 정보가 많이 보관된 기관·기업을 고위험으로 판단하고 중점적으로 살펴보려 한다"고 설명했습니다.
위험도가 상대적으로 낮지만 체계적 관리가 필요한 중위험 분야는 관계부처와 합동점검을 진행합니다. 개보위는 중위험 분야에 개인정보영향평가 실시와 개인정보 보호 중심 설계, 이른바 PbD 원칙 준수를 유도할 계획입니다. 이를 위해 주요 관계 부처가 참여하는 범정부 정책협의체도 운영해 부처별 소관 분야의 개인정보 관리 실태와 위험 해소 방안을 공유하기로 했습니다.
사전 실태점검은 제재보다 개선 유도에 초점이 맞춰집니다. 고 심의관은 "사전 실태점검은 기본적으로 처리자의 협력을 통해 이루어지는 절차"라며 "원칙적으로 점검에서 나온 문제점은 권고를 통해 개선을 유도하고, 개선이 끝나면 더 이상의 행정절차는 없다"고 말했습니다.
다만 개선이 이뤄지지 않거나 점검 과정에서 유출 은폐 등 중대한 문제가 발견될 경우에는 조사 절차로 전환될 수 있습니다. 고 심의관은 "개선이 이뤄지지 않는다면 시정명령이나 조사 절차가 들어가게 된다"며 "점검 목적과 다른 부분에서 유출이나 은폐 행위가 발견되면 필요한 경우 조사 전환할 수 있다"고 설명했습니다.
개보위는 점검과 함께 기업의 자발적 보호 투자도 유도할 방침입니다. 서비스 기획·설계 단계부터 개인정보 보호를 기본값으로 반영하는 개인정보 보호 중심설계 원칙을 제도화하고, 안내서와 우수 사례를 보급할 계획입니다. 추가 보호조치를 실효적으로 운영한 사실이 확인되면 과징금 감면 등 인센티브를 부여하고, 중소·영세사업자의 경미한 위반은 기술 지원을 통한 시정 시 처분을 경감하기로 했습니다.
개인정보 보호 생태계 관리도 강화됩니다. 개보위는 대량의 개인정보가 집중되는 서비스형 소프트웨어(SaaS) 등 클라우드와 전문 수탁자 등 공급망 전반에 대한 관리를 강화합니다. 개인정보 유출과 오남용을 막기 위한 예방형 개인정보 보호 기술 연구개발과 인력 양성도 추진할 계획입니다.
다만 구체적인 고위험군 분류가 아직 진행 중이라는 지적에 대해 개보위는 "공공 분야는 현황이 파악돼 있고, 집중 관리하는 개인정보처리시스템도 많다"며 "공공 분야에 대해서는 오는 6월부터 바로 점검에 들어갈 수 있을 것"이라고 설명했습니다. 이후 사업자 수가 많은 민간 분야에 대해서는 위험도 분류 작업을 거친 뒤 분야별로 점검 계획을 공개할 예정입니다.
전연주 기자 kiteju1011@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김충범 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지