쿠팡 사태에 칼 빼든 정부 “개인정보 인증 제도 기준 대폭 강화“
━
심사·사후관리 강화, 인증 취소도 가능
과학기술정보통신부와 개인정보보호위원회는 6일 관계부처 대책회의를 열고 개인정보 인증 제도의 관리·심사 기준을 대폭 강화하는 내용이 담긴 개편안을 논의했다고 밝혔다.
심사 방식도 강화한다. 기존 인증 신청에서는 관리체계 운영명세서만 요구했다면, 개선안은 인증 범위에 자산 현황을 추가했다. 예비 심사 단계에선 핵심 항목을 먼저 검증한 뒤 기술심사 및 현장 실증 심사를 강화한다. 아울러 심사의 전문성을 높이기 위해 분야별 인증위원회를 운영하고, 심사원 대상으로 AI 등 신기술을 교육하기로 했다.
사후 관리도 개선한다. ISMS-P 인증 기업에서 유출 사고가 발생하면 특별 사후 심사를 해 인증 기준 충족 여부를 확인하고, 이 과정에서 인증 기준에 중대 결함이 발견되면, 인증위원회 심의·의결을 거쳐 인증을 취소할 수 있다. 현재까지 ISMS-P 인증을 받았다가 취소된 기업은 없다.
사고 기업에 대해선 사후 심사 투입 인력과 기간을 2배로 확대하고, 사고 원인과 재발 방지 조치를 집중적으로 점검한다. 기존 사후 심사는 심사팀장 1인이 하루 정도 기업에 방문하는 형식이었다.
황석진 동국대 정보보호학과 교수는 “그간 ISMS-P 등 인증은 개인정보 유출 예방보다 기업 과징금(최대 40%), 과태료(최대 50%) 감경 수단 성격이 강했다”면서 “이번 개편안은 인증 취소, 사후 관리를 통한 실효성을 강화하는 데 의미가 있다. 개인정보 관리를 소홀히 한 경우 기업에 무거운 책임을 물을 수 있는 대책도 함께 고민되어야 한다”고 말했다.
━
사고 발생시 현장 점검 실시
━
LG유플러스, 통화 정보 유출 발생
한편, 같은 날 LG유플러스는 개보위에 통화 정보 유출 피해를 자진 신고했다. LG유플러스는 “최근 익시오(인공지능 통화 앱) 서비스의 운영 개선 작업 과정에서 캐시(임시 저장 공간) 설정 오류로 고객 36명의 일부 통화 상대방 전화번호, 통화 시각, 통화 내용 요약 등 정보가 다른 이용자 101명에게 일시적으로 노출되는 현상이 발생했다”며 “6일 오전 9시쯤 개인정보보호위원회에 신고를 완료했다”고 밝혔다.
개인정보보호법 시행령에 따르면, 개인정보처리자는 개인정보 유출 사실을 인지한 지 72시간 이내 개보위에 신고해야 한다. 신고 대상은 유출 피해 대상이 1000명 이상이거나 주민번호 등 민감 정보가 포함된 경우 등이다. LG유플러스는 “이번 건은 신고 대상에 포함되지 않지만, 자발적으로 신고했다. 유출 정보에 주민번호 등 고유식별번호와 금융정보는 포함되지 않았다”고 설명했다.
여성국([email protected])