주요 개인정보처리자, ‘CPO’ 지정 시 이사회 의결 및 1개월 내 신고 의무
매출 1조원 이상 대기업 및 공공시스템 등 2028년까지 ISMS-P 인증 필수
사후 수습 관행 깨고 유출 ‘가능성’ 인지 즉시 72시간 내 통지 의무화

[보안뉴스 조재호 기자] 개인정보보호위원회는 개인정보 유출 사고에 대한 예방과 대응을 강화하고 국민의 권리를 보다 두텁게 보호하기 위한 ‘개인정보 보호법 시행령’ 일부개정령안을 마련해 6월 2일부터 7월 13일까지 입법예고 한다고 밝혔다.


이번 시행령 개정은 지난 3월 공포돼 9월 11일 시행을 앞둔 ‘개인정보 보호법’의 후속 조치다. 당국은 이번 개정을 통해 개인정보보호책임자(CPO)의 독립성을 강화하고, 파급력이 큰 기관에 대한 개인정보 보호인증(ISMS-P) 의무화를 명문화했으며, 유출 가능성 단계부터 정보 주체에 대해 지체 없이 통지하도록 제재 실효성을 높였다.

이번 시행령 개정은 데이터 경제 시대에 맞춰 개인정보 보호의 패러다임을 사후 수습에서 ‘사전 예방’과 ‘경영진의 책임 감시 체계’로 전환하는 분수령으로 읽힌다.

CPO 이사회 의결 및 당국 신고 의무 대상 구체화
CPO의 독립성과 신분 보장을 강화하기 위해 이사회 의결 및 신고 의무 대상 기준이 마련됐다. 연 매출액이나 수입이 1800억원 이상이면서 5만명 이상의 민감 및 고유식별정보를 처리하거나 100만명 이상의 개인정보를 보유한 자, 재학생 수 2만명 이상인 대학, 상급종합병원, 공공시스템운영기관 등이 그 대상이다. 의무 발생일로부터 1개월 이내에 ‘개인정보위’에 신고서를 제출해야 하며 부득이한 사유 발생 시 1개월 연장이 가능하다.

ISMS-P 인증 의무 대상 및 시한 확정
대규모 데이터를 취급하는 핵심 기관 및 기업의 ‘ISMS-P’ 인증이 필수 요건으로 격상됐다. 공공시스템운영기관 중 보호위원회가 정해 고시하는 자, 이동통신사업자, 본인확인기관을 비롯해 전년도 매출액이 1조원 이상이고 정보통신서비스 부문 매출액 100억원 이상이며 일일 평균 3000만명 이상의 개인정보를 저장하고 관리하는 자는 오는 2028년 12월 31일까지 ‘ISMS-P’ 인증을 받아야 한다.

유출 가능성 선제 통지제 신설 및 과태료 가중 처분 정비
유출 가능성 통지의 요건과 시기가 엄격해졌다. 개인정보처리시스템에 대한 불법적 접근을 알게 되었거나 개인정보가 불법으로 거래 및 유통되고 있음을 인지한 때에는 실제 유출이 확인되지 않았더라도 72시간 이내에 정보주체에게 통지해야 한다. 개인정보의 분실이나 도난, 유출뿐 아니라 위조·변조·훼손의 경우에도 통지 및 신고 대상에 포함된다. 또, 제재 실효성을 높이기 위해 경미한 위반으로 과태료가 면제되고 경고만 받았더라도, 향후 동일한 위반 행위 재발 시 이를 가중 횟수 1회로 산정하여 2회차 과태료 기준을 엄격하게 적용하도록 부과 기준을 정비했다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>