개인정보위, SKT 고객정보 유출사고 계기 「개인정보 안전관리 체계 강화 방안」 중점 추진

다음은 대한민국 정부 부처에서 발표한 보도자료의 상세하고 포괄적인 요약입니다.

1. 핵심 요약

개인정보보호위원회(이하 개인정보위)는 2025년 4월 18일 발생한 SKT 고객정보 유출 사고를 계기로, 국민 생활에 큰 영향을 미치는 대규모 개인정보 유출 사고를 예방하기 위한 「개인정보 안전관리 체계 강화 방안」을 발표했습니다. 이 방안은 기업의 개인정보 보호 인식을 '비용'에서 '전략적 투자 및 기본적 책무'로 전환하고, 사전 예방 중심의 제도 개선, 상시적 내부통제 강화, 엄정한 처분 및 실질적 권리구제라는 3대 축을 중심으로 추진됩니다. 관련 법령 개정 및 예산 확보 등 후속 조치는 2025년 하반기부터 2026년 상반기까지 단계적으로 진행될 예정입니다.

2. 주요 내용

• 사전 예방 중심의 제도 개선 및 인센티브 강화: 대규모 개인정보처리 시스템에 대한 '공격표면관리(Attack Surface Management)'를 강화하고, 주요 정보의 암호화 적용을 확대하는 등 선제적 조치를 정례화합니다. 공격표면관리란 공격자가 노릴 수 있는 취약점이나 경로를 지속적으로 식별, 분석, 모니터링하여 보안 위협을 줄이는 활동을 의미합니다. 또한, 평소 개인정보 보호를 위한 선제적·적극적 조치를 한 기업에게는 과징금 감경 등 인센티브를 제공하며, 웹, 딥웹, 다크웹 등에서 불법 유통되는 유출 정보를 탐지하고 2차 피해 예방을 적극 지원합니다. '개인정보보호 관리체계(ISMS-P)' 인증 제도는 신종 해킹 기법을 고려한 현장 심사(취약점 점검, 모의 해킹 등) 중심으로 고도화하고, 핵심 공공 시스템 및 이동통신 서비스 등에는 단계적 의무화를 추진합니다.

• CEO/CPO 중심의 상시적 내부통제 강화: 개인정보 보호 분야의 인력 및 예산 투자를 확대하기 위한 구체적인 기준을 제시하고, 이를 충족하기 위해 노력한 기업이나 공공기관에 다양한 인센티브를 제공합니다. 예를 들어, 전체 정보화 예산의 10% 이상을 개인정보 보호 예산으로 확보한 경우 유출 사고 발생 시 책임 경감 등의 혜택을 검토합니다. 기업 최고경영자(CEO)에게 개인정보 보호 관련 위험 관리 및 내부 통제에 대한 최종적인 책임이 있음을 명확히 하고, 개인정보보호책임자(CPO)의 지정 신고제 도입, 연 1회 이사회 보고 의무화, 직무 여건 보장 등을 통해 법적 권한과 역할을 강화합니다. CPO는 기업 내에서 개인정보 보호 관련 정책 수립, 이행, 감독 등 총괄적인 책임을 지는 임원을 뜻합니다.

• 엄정한 처분 및 실질적 권리구제 체계 확립: 같은 방식으로 반복적으로 해킹을 당하는 등 개인정보 유출 사고가 반복되는 기업에 대해서는 과징금 가중 등 엄정한 제재를 부과하고, 중장기적으로는 징벌적 과징금 도입 등 제재 처분의 실효성 제고 방안을 검토합니다. 또한, 개인정보 유출로 인해 중대한 피해가 예상될 경우, 실제 유출이 확인된 사람뿐만 아니라 유출 가능성이 있는 모든 사람에게 통지를 확대하여 추가 피해 확산을 방지합니다. 「개인정보 보호법」 위반에 따른 과징금(2024년 기준 611억 원)을 실제 유출 사고 피해자 구제에 활용하는 방안, 예를 들어 '개인정보 피해구제 기금' 도입을 검토하여 피해자 보상을 강화합니다.

• 개인정보 영향평가 민간 활성화 및 전문성 강화: 현재 공공기관에 의무적으로 적용되는 '개인정보 영향평가'를 민간에서도 활성화될 수 있도록 대상, 방법, 기준을 구체화하고, 평가기관 및 인력의 전문성을 높여 자율적 수행 기반을 마련합니다. 개인정보 영향평가는 개인정보 처리 시스템을 새로 구축하거나 변경할 때, 개인정보 침해 위험 요인을 사전에 분석하고 개선하기 위한 평가입니다.

• 법적 사각지대 관리 강화 및 안심설계 인증제 도입: 클라우드 서비스 사업자나 전사적자원관리(ERP) 시스템, 보안 솔루션 등 대규모 수탁사 및 솔루션 공급자와 같이 현행법상 관리 사각지대에 있는 주체들에 대한 관리 감독을 강화합니다. 또한, 중소 사업자들의 보안 역량 제고를 위해 제품이나 서비스 설계 단계부터 개인정보 보호 기능을 내재화하는 '개인정보 안심설계 인증제(PbD 인증제)' 도입을 추진하고, 보호 수준이 검증된 제품 사용을 권장합니다.

• 전문인력 양성 및 신기술 침해 위협 선제 대응: ISMS-P 인증 심사원, 개인정보 영향평가사 등 개인정보 보호 분야 전문인력 양성을 위한 온라인 교육과정 운영 및 대학교 석박사 과정 신설(2026년 R&D 예산 30억 원)을 추진합니다. 아울러 인공지능(AI) 및 스마트 기기 등 신기술·신제품의 개인정보 침해 위협을 선제적으로 분석하고 대응 방안을 마련하여 권리구제 기반을 강화합니다.

• 손해배상 보장제도 내실화 및 유연화: 일정 규모 이상의 기업에서 개인정보 유출과 같은 예상치 못한 사고에 대비하기 위한 다양한 보험 상품 개발 및 개선을 유도합니다. 보험 적용 범위 조정, 보장 범위 확대·차등화 등을 통해 손해배상 보장 제도의 내실화와 유연화를 꾀하고, 자율적인 피해 구제 확산을 지원합니다.

3. 배경 및 목적

이번 「개인정보 안전관리 체계 강화 방안」은 2025년 4월 18일 발생한 SKT 고객정보 유출 사고를 직접적인 계기로 마련되었습니다. 이 사고는 USIM 정보 등 약 9.82GB에 달하는 대규모 고객 정보 유출로, 휴대전화 정보가 공문서 발급, 금융 거래 등 국민 생활의 핵심 인프라로 기능하는 현 시대에 국민 신뢰를 훼손하는 '중대한 사건'으로 인식되었습니다. 특히, 인공지능(AI) 기술 발전으로 예측 불가능한 보안 위협이 진화하고 개인정보 처리의 자동화·집중화로 위험성이 지속적으로 증가하는 상황에서, 국내 다수 기업이 AI 심화 시대에 맞는 성숙한 개인정보 리스크 관리 체계를 갖추지 못하고 있어 유사 사고의 재발 우려가 심각하다는 문제 인식이 배경이 되었습니다.

현행 규제 시스템은 개인정보처리자가 반드시 준수해야 하는 최소한의 법적 의무 사항을 중심으로 규율하고 있어, 기업이 보다 적극적이고 추가적인 보호 조치를 할 제도적 유인이 부족했습니다. 또한, 국민의 개인정보 보호에 대한 감수성은 매우 높음에도 불구하고, 실제 기업들의 정보보호 관련 인적·물적 투자 규모는 세계적 수준(미국 11.6%)에 비해 낮은 6.1%(2023년 기준)에 머물러 있습니다. 이는 많은 기업이 개인정보 보호를 '불필요한 비용'으로 인식하는 관행 때문으로 지적됩니다. 더불어, 동일한 원인으로 유출 사고가 반복되는 기업에 대한 엄정한 제재 체계가 미흡하고, 과징금이 전액 국고에 귀속되어 실제 피해자 구제에 활용될 수 없는 모순적인 상황도 개선의 필요성을 높였습니다. 유출 통지 대상이 확인된 피해자로 한정되어 추가 피해 확산을 막기 어렵다는 점도 보완해야 할 과제였습니다.

이러한 문제의식을 바탕으로, 이번 방안의 목적은 SKT 사고에서 드러난 제도적·기술적 미비점을 보완하고, 사후 땜질식 처방과 제재만으로는 급속히 발전하는 해킹 기술에 대응하기 어렵다는 점을 인식하여 기업이 보다 적극적이고 선제적인 안전 조치를 할 수 있도록 인센티브 중심의 체계를 마련하는 것입니다. 궁극적으로는 개인정보 보호를 '비용'이 아닌 '전략적 투자이자 기본적 책무'로 인식하도록 사회 전반의 인식을 전환하고, 대규모 개인정보 유출 사고를 근절하며 정보주체의 실질적인 권리 구제를 실현하여 국민 신뢰를 받는 개인정보 안전 관리 체계를 조성하는 데 있습니다.

4. 세부 추진 내용

개인정보위는 이번 방안을 마련하기 위해 2025년 5월부터 전담반을 구성하고 전문가 및 사업자 간담회, 국내외 자료 조사를 통해 현행 규제 시스템의 문제점을 종합적으로 분석했습니다. 세부 추진 내용은 크게 세 가지 축으로 나뉘며, 각 과제별로 법률 개정, 시행령·고시 개정, 예산 확보 등의 조치가 수반됩니다.

첫째, 유사 사고 예방을 위한 선제적 제도 개선을 위해 주요 개인정보처리 시스템에 대한 공격표면관리 강화 및 암호화 적용 확대 등은 2026년 상반기까지 시행령 및 고시 개정을 통해 추진됩니다. 다크웹 등 유통 정보 분석을 통한 2차 피해 예방 강화와 ISMS-P 인증체계 고도화 및 단계적 의무화는 법률 개정 및 예산 확보를 포함하여 2026년 하반기까지 추진될 예정입니다. 특히 ISMS-P 인증체계 고도화는 최초 심사 시 예비·현장 심사를 도입하고, 보안 패치 관리 등 핵심 항목 심사를 엄격화하며, 공공 시스템 및 이동통신 서비스 등 중요 개인정보처리자에 대한 인증 의무화를 단계적으로 추진합니다.

둘째, 상시적 내부통제 강화를 위해 개인정보 보호 분야의 인력 및 예산 투자 최소 기준 명확화, CEO/CPO 중심의 내부통제 강화, 개인정보 영향평가 민간 활성화 및 전문성 강화, 대규모 수탁자 및 솔루션 제공자에 대한 관리 감독 효율화는 모두 2026년 상반기까지 법률, 시행령, 고시 개정 및 예산 확보를 통해 진행됩니다. CPO의 경우, 전문 CPO 지정 의무기관(매출액 1,500억 원 이상이면서 100만 명 이상 개인정보 처리 기업 등)은 CPO 지정 시 개인정보위에 신고를 의무화하고, CPO 임면 시 이사회 의결을 거치도록 절차를 마련하여 권한을 강화합니다. 개인정보 영향평가는 민간의 자율적 평가를 허용하고, 대규모 정보 처리 기업(연 매출 1,500억 원 이상, 100만 명 이상 개인정보 처리 등), 이동통신 서비스 사업자, 신기술 활용 사업자 등을 대상으로 기준을 구체화합니다.

셋째, 엄정한 처분 및 권리구제 실질화를 위해 신속하고 엄정한 조사·처분 체계 확립과 유출 사고 등에 따른 피해 구제 실질화는 법률 개정 및 예산 확보를 포함하여 2026년 하반기까지 추진됩니다. 특히 디지털 증거 확보를 위한 포렌식랩 구축(2025년) 및 조사 협조 의무 강화 방안 마련을 통해 신속한 조사를 가능하게 합니다. 시장 감시 및 권리 구제 지원을 위한 '개인정보 옴부즈만' 설치와 전문인력 양성, 침해 요인 선제 대응 등은 운영 규정 마련 및 예산 확보를 통해 2026년 상반기까지 진행될 계획입니다.

5. 기대 효과

이번 「개인정보 안전관리 체계 강화 방안」의 추진을 통해 기업들은 개인정보 보호를 단순한 법적 의무 이행을 넘어 '불필요한 비용'이 아닌 고객 신뢰 확보를 위한 '기본적 책무'이자 '전략적 투자'로 인식하게 될 것입니다. 이는 기업의 자율적이고 선제적인 안전 조치 강화를 유도하여 전반적인 보안 역량과 경쟁력을 향상시키는 효과를 가져올 것입니다. 국민과 정보주체 측면에서는 대규모 개인정보 유출 사고의 재발을 효과적으로 방지하고, 만약 사고가 발생하더라도 실질적인 피해 구제와 2차 피해 확산 방지가 강화되어 개인정보 보호에 대한 국민적 신뢰가 확산될 것으로 기대됩니다. 또한, '개인정보 옴부즈만' 설치를 통해 정보주체가 적극적으로 시장 감시 역할을 수행하고 정책 의견을 제시할 수 있는 공식적인 통로가 마련되어 권리 보장이 더욱 강화될 것입니다. 궁극적으로는 AI 심화 시대에 예측 불가능한 보안 위협에 대한 국가적 대응 역량을 강화하고, 개인정보 보호 수준을 제고하여 디지털 사회의 안정성과 지속가능성을 확보하는 데 기여할 것입니다. 이 방안의 수혜 대상은 100만 명 이상 대규모 개인정보를 처리하는 공공기관 및 민간사업자, 그리고 이들의 서비스를 이용하는 모든 국민입니다.

6. 향후 계획

개인정보위는 이번에 발표한 「개인정보 안전관리 체계 강화 방안」이 산업 현장에서 실질적으로 적용될 수 있도록 다각적인 후속 조치를 차질 없이 추진할 계획입니다. 우선, 사업자 설명회 및 의견 수렴 과정을 거쳐 인력, 예산, 인센티브 등 이행 가능한 합리적인 기준을 명확히 설정할 예정입니다. 이러한 기준들은 법령 및 고시에 반영되거나 관련 예산 확보를 통해 구체화될 것입니다. 대부분의 법률 개정사항은 2025년 연내 개정안을 마련하여 2026년 상반기 중 국회에 제출할 예정이며, 중장기적인 검토가 필요한 사항에 대해서는 이해관계자 의견 수렴을 거쳐 2026년까지 개정안을 마련할 계획입니다. 개인정보위는 민간의 자율적인 참여를 통해 합리적인 기준을 설정했음에도 불구하고 유출 사고가 발생할 경우, 그 원인과 책임에 따라 엄정하게 제재할 방침임을 명확히 했습니다. 고학수 개인정보위 위원장은 이번 사고를 계기로 개인정보 보호에 대한 국민적 신뢰가 확산되기를 기대한다고 강조하며, 지속적인 노력을 약속했습니다.