송경희 개인정보보호위원회 위원장이 현재 대규모 개인정보 유출로 조사가 진행 중인 쿠팡에 대해 “3000만 명 이상의 개인정보가 유출된 것은 확실하다”고 말했다. 기업에 대한 개인정보보호법 적용은 기업 국적과 무관하다는 점도 강조했다.
송 위원장은 21일 서울 중구 프레스센터에서 열린 신년 기자 간담회에서 쿠팡 조사 현황과 관련해 “아이디(ID) 등 개인정보로 볼 수 있는 유출만 3000만 명 이상으로, 비회원 정보가 추가되면 규모는 더 늘어날 수 있다”고 말했다. 이어 “이용자가 다른 사람에게 (상품을) 배송하는 경우도 있기 때문에 한 사람의 정보에 타인의 정보도 포함될 수 있다고 보고 확인 중”이라며 “조사는 상당 부분 진행이 됐다”고 설명했다. 현재 개보위는 역대 최대 인력인 14명의 조사관을 투입해 쿠팡 사건을 조사 중이다.
미국 연방 의회가 쿠팡에 대한 우리 정부의 대응을 두고 “마녀사냥”이라고 언급하는 등 압박을 가하고 있는 것에 대해서는 원칙주의를 강조했다. 송 위원장은 “개보위는 개인정보보호 위반 여부를 원칙에 근거해 엄정하게 보겠다는 입장”이라며 “해외 기업인지는 중요하지 않다, 통상이 변수가 될 것이라는 점은 고려하고 있지 않다”고 강조했다.
송 위원장은 쿠팡과 같은 사고가 또 다시 발생하지 않으려면 사전 예방 체계로 전환해야 한다고 강조했다. 송 위원장은 “이달 14일로 개보위원장으로 취임한 지 100일을 넘겼다”며 “지난 100일 간의 시간을 돌아보면 개보위가 가장 주목을 받은 부분은 국민 생활 밀접 분야에서 발생한 대규모 개인정보 유출 사고로, 이들 기업은 첨단 해킹 기법보다는 기본적인 관리·점검·통제의 부재에서 사고가 발생한 경우가 적잖았다”고 지적했다. 그러면서 “개인정보 침해가 발생한 이후 조사·처벌하는 방식으로는 국민을 실질적으로 보호하기 어렵다”며 “이것이 사전 예방 중심 체계로 전환을 강조하는 이유”라고 설명했다.
이를 위해 개보위는 개인정보 보호에 투자하고 예방 조치를 충실히 이행한 경우 과징금을 감경하는 식의 인센티브 제도를 도입한다는 방침이다. 동시에 중대·반복 유출 사고의 경우 전체 매출액의 10%를 과징금으로 부과하는 특례 도입도 추진 중이다. 최고경영자(CEO)의 개인정보 강화에 대한 책임을 명확히 하고, 개인정보보호책임자(CPO) 지정 신고제·권한 강화 등을 포함한 법 개정도 목표다.
원활한 조사를 위해 자료 제출 명령·시정 명령을 이행하지 않을 경우 이행 강제금을 부과하는 방안도 추진한다. 송 위원장은 “강제 이행금은 일 단위로 부과되는 개념”이라고 설명했다. 이 외에도 지난해 유명무실하다는 비판이 나왔던 개인정보보호 관리체계(ISMS-P)에 대한 취소 기준도 마련한다.
송 위원장은 “인공지능(AI) 시대 새로운 개인정보 침해 위협에도 지속 대응하며 신뢰 기반의 AI 시대를 위한 개인정보 처리 기준에 대한 연구에도 박차를 가할 것”이라고 덧붙였다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
hoje@sedaily.com
