「개인정보 안전관리 체계 강화 방안」 중점 추진(25.09.11) - 개인정보보호위원회

개인정보보호위원회는 SKT 고객정보 유출 사고를 계기로, 대규모 개인정보처리 전반에 대해 사전예방 중심의 점검을 강화하고, CEO·CPO의 책임성과 내부통제를 확충하며, 과징금·권리구제 실질화를 통해 기업의 개인정보 보호를 ‘비용’이 아닌 ‘전략적 투자’로 전환하는 새로운 관리체계를 마련을 발표 함.

 

목차
   ­ㄴ 추진배경 (개정이유)
   ­ㄴ 주요 개선방안 (3대 축)
   ­ㄴ 세부 추진내용 (주요내용)
   ­ㄴ '개인정보 안전관리 체계 강화 방안' - 마인드맵
   ㄴ '개인정보 안전관리 체계 강화 방안' - 주요내용 인터뷰 영상
   ­ㄴ 향후 계획
   ­ㄴ 출처

 

□ 추진배경 (개정이유)    

1. 대규모 개인정보 유출 사고 재발 방지 필요
   • 2025년 4월 발생한 SKT 고객정보 유출 사건은 수천만명 국민에게 직접적 영향을 미쳤고, 장기간 은밀히 진행된 해킹으로 심각한 사회적 파장을 불러옴
   • 사고 원인 분석 결과, 기업 보안체계의 취약점 방치, 이상징후 탐지 미흡, 내부 인력·예산의 부족 등이 확인됨.
2. 사후 규제 중심 제도의 한계
   • 개인정보보호법 및 고시가 제시하는 최소 준수사항은 법적 하한선에 불과
   • 해킹 기술의 고도화에 대응하려면 사고 후 제재보다는 사전적 예방조치가 핵심
3. 기업 인식 개선 필요
   • 다수 기업이 개인정보 보호를 ‘필수적 비용’으로만 인식, 자원 투입 소극적
   • 국민 여론조사(’24년 통계청)에 따르면 개인정보 유출에 대해 57.6%가 ‘안전하지 않다’고 응답 → 국민 신뢰 회복 시급
4. 엄정한 제재와 실질적 권리구제 필요성
   • 반복적으로 사고를 내는 기업에 대한 징벌적 처벌 체계 부족
   • 과징금 전액이 국고 귀속되는 현 제도는 피해자 구제와 연결되지 않는 문제 존재
     
     

□ 주요 개선방안 (3대 축)   

① 사고예방·선제적 제도개선

• 공격표면관리(ASM) 강화 : 대규모 개인정보처리시스템의 외부 노출 취약점 제거, 비정상 접근·인증 시도 탐지, 개인정보 다운로드 시도 모니터링
• 암호화 확대 : 주요 개인정보(주민번호, 계좌정보 등)에 대한 암호화 적용 대상을 확대, 저장·전송 단계 모두 보호
• 불법유통 탐지·차단 : 웹·딥웹·다크웹 상에서 유출 개인정보 불법 유통 여부를 상시 탐지, 사업자·유관기관에 신속 공유해 2차 피해 차단
• ISMS-P 인증 고도화 : 단순 문서심사 → 현장 중심 심사(취약점 점검, 모의해킹) 강화, 사고 기업에 대한 사후관리 제도화
• 장기적 제도 개선 : 통신사, 핵심 공공시스템 등 대규모 사업자에게 ISMS-P 인증 단계적 의무화 추진

② 상시적 내부통제 강화

• 인력·예산 투자 기준 마련 : 개인정보 보호를 위한 최소 투자 비율·규모를 제시하고 충족 여부에 따라 인센티브(감경, 가점) 부여
• CEO 책임 명확화 : 개인정보 보호 관련 위험관리·내부통제에 최종 책임을 CEO에게 부여
• CPO 권한 보장 : 개인정보보호책임자(CPO)의 자율성·책임성 강화 (지정 신고제, 이사회 연 1회 보고, 직무 여건 보장 등)
• 민간 개인정보 영향평가 활성화 : 공공에 의무 적용 중인 제도를 민간에도 확산, 대상·기준·평가기관 전문성 강화
• 법적 사각지대 해소 : 대규모 수탁사(클라우드)·솔루션 공급자까지 관리대상 확대
• 개인정보 안심설계 인증제 : 중소기업·개발사 제품을 사전 검증해 안전한 제품 사용을 권장

③ 엄정한 처분 및 권리구제 실질화

• 반복사고 기업 제재 강화 : 동일 원인 재발 기업은 과징금 가중, 장기적으로 징벌적 과징금 제도 도입 검토
• 통지 범위 확대 : 실제 유출 피해자뿐 아니라 유출 가능성이 있는 대상자에게도 통지
• 과징금 활용 개선 : 과징금 일부를 실제 피해자 구제에 직접 활용할 수 있는 제도 마련
• 개인정보 옴부즈만 설치 : 시장감시·권리구제 지원을 위한 독립기구 신설(시민단체, 전문가 포함)
• 전문인력 양성 : ISMS-P 심사원, 영향평가사 등 전문 교육과정 운영, 대학원 과정 신설
• 보험상품 개선 : 기업이 유출사고에 대비해 가입할 수 있는 사이버보험 개발·보급 확대, 피해자 신속 구제 지원
  
  

□ 세부 추진내용 (주요내용)   

• 선제적 제도개선
  • 공격표면관리 정례화, 암호화 적용 확대, 다크웹 모니터링, ISMS-P 인증 단계적 의무화
• 상시적 내부통제 강화
  • 투자 기준 제시 및 인센티브 제공, CEO 책임 명확화, CPO 권한 강화, 영향평가 민간 활성화, 안심설계 인증제 도입
• 엄정한 처분 및 권리구제 실질화
  • 과징금 실효성 제고, 피해자 통지 범위 확대, 피해구제 연계, 옴부즈만 신설, 전문인력 양성, 보험상품 확충
    
    

□ '개인정보 안전관리 체계 강화 방안' - 마인드맵     

□ '개인정보 안전관리 체계 강화 방안' - 주요내용 인터뷰 영상    

□ 향후 계획   

• 2025년 연내 관련 법령 개정안 마련 → 2026년 상반기 국회 제출 예정
• 사업자 설명회·의견수렴을 통해 인력·예산·인센티브 기준을 합리적으로 구체화
• 민간 자율 기준 준수 미흡시 사고 발생 원인·책임에 따라 엄정 제재 예정
  
  

□ 출처   

• 개인정보보호위원회 보도자료 (2025.09.11)
• 「개인정보 안전관리 체계 강화 방안」 보도자료(첨부파일)

250911 (석간) 개인정보위, SKT 고객정보 유출사고 계기 '개인정보 안전관리체계 강화 방안' 중점 추진(신기술개인정보과).pdf

0.55MB

개인정보 안전관리 체계 강화 방안_마인드맵.png

1.94MB

 

이상.  끝.