"개인정보위"에 대한 통합검색 결과
통합검색(26)
경제(9)
검색결과 총 26건
이 대통령 “규정 위반하면 회사가 망할 정도로 제재해야”, 집단소송제 필요성 강조 이재명 대통령이 반복되는 개인정보 유출 사태를 두고 “경제 제재가 약하다 보니 규정 위반이 일상처럼 이뤄진다”고 강하게 비판했다. 이재명 대통령은 “국민에게 피해를 주면 회사가 문을 닫을 수 있다는 인식이 들 정도로 강력한 제재가 필요하다”고 밝혔다. “지금은 위반하고도 ‘뭐 어쩔 건데’라는 태도”세종컨벤션센터에서 열린 개인정보보호위원회 업무보고 자리에서 이 대통령은 “원래 이런 규정을 위반하면 난리가 나야 한다”며 현행 제재 수준이 억지력으로 기능하지 못하고 있다고 지적했다.현재 개인정보 유출에 대한 과징금은 직전 3개년 평균 매출액의 최대 3%까지 부과할 수 있다. 이에 대해 이 대통령은 “시행령을 고쳐 3년 중 최고 매출액을 기준으로 3%를 산정해야 한다”고 제안했다. 개인정보위 “반복·중대 위반에는 매출 10% 과징금 추진”송경희 개인정보보호위원장은 “고의 또는 중대한 반복 위반에 대해 최대 매출액의 10%까지 과징금을 부과하는 방안을 준비하고 있다”고 보고했다. 잇따른 대규모 유출 사고와 AI 기반 데이터 처리 확대로 정책 환경이 변한 점을 고려한 조치다. 집단소송제 보완 필요성 강조이 대통령은 집단소송제 실효성도 강화해야 한다고 말했다. 현행 단체소송은 금지 청구만 가능해 손해배상 청구가 불가하다. 이 대통령은 “전 국민이 피해자인 사건에서 개별 소송을 하라고 하면 소송비가 더 들지 않겠느냐”며 입법 속도를 주문했다. 대규모 피해 구제에 대한 요구 커지는 가운데…뉴욕에서 진행 중인 ‘쿠팡 개인정보 유출’ 소송도 주목최근 쿠팡 개인정보 유출 사태와 관련해 법무법인(유한) 대륜의 뉴욕 현지 협력 로펌 SJKP LLP 가 주도하는 집단 소송 절차가 본격화되고 있다. 미국 내 피해자 보호 규정이 한국보다 강한 만큼, 이번 해외 소송은 글로벌 IT·유통 플랫폼의 개인정보 관리 책임을 새롭게 규정하는 계기가 될 것이라는 평가가 나온다.대륜은 미국 SJKP LLP와 협력해 피해자 범위를 확장하고, 유출 규모·관리 책임·사후 대응의 적정성을 다각도로 문제 삼고 있다. 이번 소송은 단순한 손해배상 청구를 넘어 기업의 데이터 관리 의무를 국제 기준으로 끌어올리는 상징적 사건으로 주목받고 있다.한국 정부가 제도 개선을 추진하는 상황에서 해외 소송이 병행되는 만큼, 국내외 법적 압박이 향후 개인정보 정책 전반에 영향을 미칠 가능성도 제기된다.
2025.12.12
개인정보위, ‘매출 최대 10%’ 징벌적 과징금 추진…CEO 법적 책임도 명문화 개인정보보호위원회가 반복적이거나 중대한 개인정보 보호법 위반에 대해 전체 매출액의 최대 10%까지 부과할 수 있는 징벌적 과징금 제도를 추진한다. 최근 쿠팡, SKT·KT 등 국민 생활과 밀접한 기업들의 대규모 유출 사고가 이어지면서 기존 사후 규제 중심 체계를 근본적으로 손보겠다는 방침이다. 징벌적 과징금 상한 ‘3%→10%’…중소기업엔 기존 기준 유지개인정보위는 12일 대통령 업무보고에서 제재 체계 강화 방안을 공개했다. 고의·중과실 여부와 피해 규모 등 요건을 충족할 경우 과징금 상한을 매출액 3%에서 최대 10%까지 높이는 것이 골자다. 다만 중소기업의 부담을 고려해 기존 3% 상한은 유지한다.위원회는 “AI·클라우드 확산으로 개인정보 위험이 커진 만큼 억지력을 확보해야 한다”고 강조했다. 단체소송에 손해배상 포함…국민 구제 실효성 확대현재 개인정보보호법상 단체소송은 ‘침해행위 금지’만 청구할 수 있다. 앞으로는 손해배상 청구가 가능해져 피해자 구제가 실질적으로 강화된다.소비자 단체 등 공익단체가 피해자를 대신해 소송을 수행할 수 있도록 분쟁조정과 연계해 부담을 낮추는 방안도 추진된다.또한 과징금과 과태료 등을 피해 회복에 활용하는 ‘개인정보 피해회복 지원 기금’ 신설도 검토된다. 피해회복형 동의의결제·ISMS-P 관리 강화기업이 유출 사고 후 자발적으로 시정 방안을 제시하고 이를 신속히 확정해 피해 회복을 앞당기는 ‘동의의결 제도’가 새로 도입된다.정보보호·개인정보보호 관리체계(ISMS-P)에 대해서는 예비심사 도입, 기술심사 강화 등 사후 관리가 대폭 강화된다. 중대·반복 위반이 확인되면 원칙적으로 인증을 취소한다. CEO 관리의무 법제화…CPO 신고제 확대대표자(CEO)를 개인정보 보호의 최종 책임자로 명확히 규정하는 조항이 법에 반영된다. 대규모·민감정보를 처리하는 기관에는 개인정보보호책임자(CPO) 지정·신고를 의무화할 예정이다.위원회는 기업 규모와 처리 위험도에 따라 책임을 차등 적용하고, 자발적 보호 투자 기업에는 과징금 감경 등 인센티브도 제공할 계획이다.
2025.12.12
개인정보위, 쿠팡에 약관·탈퇴 절차 개선 요구 제3자 불법 접속 면책조항 문제 제기개인정보보호위원회가 대규모 개인정보 유출 사고 이후 쿠팡의 이용약관과 탈퇴 절차 운영 방식에 대한 점검 결과를 내놓았다. 개인정보위는 쿠팡이 지난해 11월 약관에 신설한 ‘서버에 대한 제3자의 모든 불법적 접속으로 인한 손해에 책임지지 않는다’는 면책 규정이 회사의 고의·과실 여부와 입증 책임을 모호하게 만든다고 판단했다. 개인정보보호법의 취지와 충돌할 수 있다는 이유에서다. 이에 개인정보위는 쿠팡에 약관 개선을 요구하고, 약관 소관 부처인 공정거래위원회에도 관련 의견을 제출하기로 했다. 탈퇴 절차 복잡성…와우 멤버십 구조도 문제개인정보위는 쿠팡의 회원탈퇴 절차가 지나치게 복잡하고 관련 메뉴 접근성이 떨어진다는 점도 지적했다. 유료 서비스인 ‘와우 멤버십’ 가입자의 경우 멤버십 해지를 탈퇴의 필수 조건으로 두면서 여러 단계를 거치도록 하는 구조, 해지 의사 재확인 절차 등을 통해 탈퇴가 어렵게 운영되고 있는 것으로 나타났다. 멤버십 잔여기간이 남아 있을 경우 해지가 불가능해 즉시 탈퇴가 사실상 제한되는 운영 방식 역시 문제로 지적됐다. 개인정보보호법 제38조 4항은 ‘개인정보 처리정지·동의 철회 절차가 개인정보 수집 절차보다 어렵지 않아야 한다’고 규정하고 있다. 유출 통지 문구 재정비…비회원 대상 조치는 미흡개인정보위는 지난 3일 긴급 의결 이후 쿠팡이 이행한 조치도 점검했다. 쿠팡은 사고 공지문의 표현을 ‘노출’에서 ‘유출’로 수정하고, 기존 안내에 포함되지 않았던 공동현관 비밀번호를 다시 통지했다. 홈페이지와 앱에도 공지문을 게시하는 등 일부 조치는 이행된 것으로 확인됐다. 그러나 배송지 명단에 포함돼 정보가 유출됐음에도 쿠팡 회원이 아닌 사람들에 대한 통지 계획은 구체화되지 않았고, 공지문의 접근성과 가시성 역시 충분하지 않은 것으로 평가됐다. 30일 이상 공지 유지·전담 대응팀 운영 주문개인정보위는 법에 따라 공지를 30일 이상 유지하고, 2차 피해 예방을 위해 전담 대응팀을 철저히 운영할 것을 쿠팡에 요구했다. 유출 규모와 피해 가능성을 고려할 때 이용자의 권리 행사가 원활히 이뤄지도록 탈퇴 절차와 약관 구조 전반에 대한 개선이 필요하다는 판단이다.
2025.12.10
개인정보위 "쿠팡, 개인정보 '노출' 아닌 '유출' 수정·재통지할 것" 개인정보보호위원회는 3천만명 이상의 고객에 대한 대규모 개인정보 유출 사태를 일으킨 쿠팡에 개인정보 '노출' 통지를 '유출' 통지로 수정하고, 유출 항목을 모두 반영해 재통지할 것을 요구했다. 개인정보위는 3일 긴급 전체회의를 열어 쿠팡이 이같은 조치를 즉각 실시할 것을 심의·의결했다고 밝혔다. 개인정보위에 따르면 쿠팡은 미확인자의 비정상적 접속으로 고객 개인정보가 유출된 사실을 파악했음에도 정보 주체에게 '노출' 통지라는 제목으로 안내했고 '유출' 사실은 통지하지 않았다. 또 관련 내용을 홈페이지에 단 1∼2일 짧게 공지하고 유출 항목 중 공동현관 비밀번호 등 일부를 누락해 국민 혼선을 초래했다. 개인정보위는 국민 대다수가 이용하는 이커머스 서비스에서 발생한 유출 사고임에도, 정보주체가 취할 수 있는 피해 예방 조치 안내가 충분하지 않았고 쿠팡의 자체 대응과 피해 구제 절차도 미흡해 국민 우려가 커졌다고 지적했다. 또 쿠팡이 배송지 명단에 포함돼 정보가 유출된 사람에게도 식별할 수 있는 범위 내에서 개인정보 유출 사실을 통지하고, 추가 유출 확인 시 즉각 신고·통지할 것을 요구했다. 개인정보위 관계자는 "쿠팡은 이용자가 직접 등록한 여러 배송지가 하나의 세트로 묶여 저장된다"며 "이름·주소·전화번호·공동현관 비밀번호 등이 함께 포함되는 구조라 부모님 집이나 지인에게 선물할 때 추가로 등록된 배송지 정보가 동시에 유출될 수 있다"고 밝혔다. 이어 "쿠팡은 회원 기준으로만 통지해 다른 배송지 정보가 유출됐는지 여부를 알기 어려운 상황"이라며 "배송지 명단에 포함된 사람들에게도 식별이 되는 대로 유출 사실을 통지해야 한다는 취지"라고 덧붙였다. 이어 개인정보위는 홈페이지 초기 화면이나 팝업창을 통해 일정 기간 이상 유출 내용을 공지하고, 공동현관 비밀번호 및 쿠팡 계정 비밀번호 변경 권고 등 추가 피해 예방 요령을 적극 안내할 것을 주문했다. 개인정보위는 피해 방지 대책의 실효성을 재점검하고 자체 모니터링을 강화하는 한편, 전담 대응팀을 확대 운영해 민원 제기나 언론 보도에 즉각 대응할 것도 요구했다. 이같은 요구에 대해 쿠팡에 7일 이내 조치 결과를 제출하도록 하고 이행 상황을 지속 점검할 방침이다. 개인정보위는 "국민 다수의 연락처, 주소 등이 유출된 사안의 중대성을 무겁게 인식하고 있다"며 "쿠팡의 개인정보 유출 경위, 규모·항목, 안전조치 의무 위반 등을 신속·철저히 조사하고 위반사항 확인 시 엄정 제재할 것"이라고 밝혔다. 개인정보위는 지난달 30일부터 3개월간 '인터넷상(다크웹 포함) 개인정보 유·노출 및 불법유통 모니터링 강화 기간'을 운영하며 유관 협회·단체와 공동으로 피해 예방 교육·캠페인을 집중적으로 전개하고 있다.
2025.12.03
![개인정보보호위원회 명패 [개인정보보호위원회 제공]](/_next/image?url=https%3A%2F%2Fd2n8o1kxb7aqru.cloudfront.net%2Fupload%2F2025-11-21%2F7f086e8a-ca4d-4459-b09b-972747389ba1.webp&w=3840&q=100)
법무법인 로고스 해킹으로 18만건 소송자료 유출…개인정보위 “매우 중대한 위반” 중대 유출로 이어진 내부 관리 부실법무법인 로고스가 내부 전산시스템 관리 소홀로 18만건이 넘는 소송자료를 해킹당한 사실이 확인됐다. 이름·주민등록번호·범죄 이력 등 민감한 정보가 포함된 자료는 총 1.6테라바이트 규모로, 일부는 다크웹에 게시된 것으로 드러났다. 관리자 계정 탈취와 대량 유출 과정개인정보보호위원회 조사 결과, 해커는 지난해 7∼8월 로고스의 관리자 계정 정보를 탈취해 내부 인트라넷에 접속했다. 이후 사건관리 리스트 4만3천892건을 내려받았고, 소장·판결문·증거자료·계좌내역·신분증·진단서 등 18만5천47건의 소송 관련 문서를 추가로 빼냈다. 취약한 보안 환경이 드러난 조사 결과로고스는 외부 접속 제한을 IP 기준으로 설정하지 않았고, ID와 비밀번호만으로 시스템 접근이 가능하도록 운영한 것으로 확인됐다. 주민등록번호와 계좌번호 등 주요 개인정보를 암호화하지 않은 채 저장했고, 보관·파기 기준도 마련되지 않았다. 웹페이지 취약점 점검 역시 미흡했다. 늑장 신고와 개인정보위의 판단로고스는 지난해 9월 유출 사실을 인지했음에도, 정당한 사유 없이 1년 넘게 지난 올해 9월 말에서야 관련 사실을 통지했다. 개인정보위는 이를 ‘매우 중대한 위반’으로 판단해 과징금 5억2천300만원, 과태료 600만원을 부과하고 홈페이지 공표를 명령했다. 시정명령과 향후 요구되는 조치개인정보위는 재발 방지를 위해 접근통제 강화, 주요 개인정보 암호화, 명확한 파기 기준 마련, 사고 대응 체계 정비 등을 포함한 전반적 관리 체계 개선을 요구했다.
2025.11.21
개인정보위원장 "인력·예산 기준 명확히…전략적 투자 인식" 송경희 개인정보보호위원장은 14일 국회 정무위원회 국정감사 모두발언에서 “개인정보 유출·침해사고에 대해서는 엄정한 조사와 처분으로 개인정보처리자의 책임성을 강화하겠다”면서 "개인정보보호 분야 인력과 예산의 최소기준을 명확히 해 개인정보 보호가 비용이 아닌 전략적 투자이자 기본 책무라는 인식을 확립해 나가겠다"고 밝혔다. 송 위원장은 "개인정보 침해사고로 인한 국민 피해의 확산을 방지하고 유출 사고 피해구제를 위한 대책도 조속히 마련해 추진하겠다"고도 밝혔다. 이어 "국민이 자신의 개인정보를 실질적으로 통제할 수 있도록 개인정보 전송요구권 제도를 올해부터 시행했다"며 "국민 생활과 밀접한 10대 분야로 확대해 나갈 계획"이라고 설명했다. 또 "폐쇄회로(CC)TV 등 영상정보처리기기의 활용 확산에 따라 영상정보의 안전성과 정보주체의 권리 강화를 위한 법률 제정도 추진하고 있다"고 덧붙였다. 송 위원장은 "인공지능(AI) 기술 개발과 성능 개선이 시급한 분야에서 충분한 안전장치를 전제로 개인정보가 포함된 원본 데이터를 활용할 수 있도록 법적 근거 마련을 추진하고 있다"고 말했다. 가명정보 제도가 현장에서 잘 작동할 수 있도록 가명처리 전 과정을 지원하는 원스톱 지원체계를 구축하고, 가명처리 절차를 간소화하겠다고 밝혔다. 송 위원장에 따르면 개인정보위는 최근 대규모 유출이 발생한 SKT에 1천347억 원의 과징금을 부과하는 등 출범 이후 총 1256건을 조사해 처분했고, 반복되는 대규모 유출 사고의 재발을 막기 위해 지난 9월 '개인정보 안전 관리체계 강화 방안'을 발표했다.
2025.10.14
![개인정보보호위원회 명패 [개인정보보호위원회 제공]](/_next/image?url=https%3A%2F%2Fd2n8o1kxb7aqru.cloudfront.net%2Fupload%2F2025-10-13%2F9f157ce6-89bb-48de-b003-877180ad6056.webp&w=3840&q=100)
개인정보위, ‘제도개선TF’ 구성…징벌적 과징금 도입 본격 검토 개인정보보호위원회가 대형 개인정보 유출 사고의 재발을 막기 위해 과징금 제도 전반을 손질한다. 특히 반복 유출 기업에 대한 ‘징벌적 과징금’ 도입과 온라인 개인정보 불법 거래에 대한 형사처벌 근거 마련이 본격 검토된다. TF 구성…학계·법조계 등 10여 개 단체 참여개인정보위는 13일 ‘개인정보 안전 관리체계 강화방안’의 후속 조치로 ‘제도개선 태스크포스(TF)’를 구성한다고 밝혔다. 이번 TF에는 개인정보위 위원과 개인정보보호법학회, 한국정보보호학회, 한국개인정보보호책임자협의회, 한국인터넷진흥원(KISA) 등 10여 개 단체와 전문가가 참여한다. 공동 단장은 개인정보위 부위원장과 염흥열 개인정보보호책임자협의회 회장이 맡는다. 징벌적 과징금·형사처벌 근거 검토 착수TF는 우선 대규모 개인정보 유출사고의 원인과 대응체계를 점검하고, 과징금 부과 기준 및 가중 요건을 구체화할 예정이다. 특히 동일 기업에서 반복 유출이 발생하는 경우 과징금 수준을 대폭 상향하고, 위반 행위의 중대성에 따라 징벌적 과징금 부과가 가능하도록 제도적 근거를 마련한다는 방침이다.또한 온라인상에서 개인정보를 사고파는 불법 유통 행위에 대해 형사처벌을 명시하는 법 개정 논의도 병행된다. 암호화·인증 강화, 자발적 신고, 피해자 보상 등 예방적 노력을 기울인 기업에는 과징금 감경 등 인센티브를 부여하는 방안도 검토 중이다. 피해구제 기금·정기점검 제도 신설 논의TF는 이와 함께 대규모 개인정보 처리 기업을 대상으로 한 정기점검 제도 도입, 피해자 개별 통지 의무 확대, 과징금 일부를 피해구제와 보안 투자에 활용하는 ‘피해구제 기금’ 신설 방안도 논의할 예정이다. 기업이 스스로 피해구제안을 제시하고 개인정보위 의결로 확정하는 ‘동의의결제’와 손해배상보험의 실효성 강화 역시 검토 대상에 포함된다. 과징금 1년 새 세 배 증가…실효성 강화 과제개인정보위는 지난해 개인정보보호법 개정을 통해 과징금 상한을 ‘위반행위 관련 매출액의 3%’에서 ‘전체 매출액의 3%’로 상향했다. 이에 따라 과징금 부과액은 2023년 232억 원에서 2024년 611억 원, 올해 9월 기준 1천658억 원으로 급증했다. 그럼에도 통신·금융사 등에서 대규모 해킹과 유출 사고가 이어지고 있어 실효적 제재와 예방 강화가 필요하다는 지적이 이어져 왔다. “연내 제도개선안 마련…산업계·시민단체 의견 반영”개인정보위는 “유출이 반복되는 구조적 문제를 해결하기 위한 제도개선안을 연내 마련할 것”이라며 “공청회 등을 통해 산업계와 시민단체 의견을 폭넓게 수렴하겠다”고 밝혔다.
2025.10.13
SKT, 집단소송에서 ‘기각’ 주장 책임 외면 논란 지난 9월 3일 SK텔레콤이 개인정보 유출 피해자들이 제기한 집단소송에서 원고들의 청구를 전부 기각해야 한다는 답변서를 법원에 제출했다. 소송 비용 역시 피해자 측이 부담해야 한다는 입장을 내며, 사실상 책임을 전면 부정한 것이다. 역대 최대 과징금에도 책임 회피이번 사건은 지난 7월 개인정보보호위원회의 제재로 이미 심각성이 드러났다. 개인정보위는 SKT에 과징금 1,347억9,100만 원과 과태료 960만 원을 부과했다. 이는 역대 최대 규모 제재로, LTE·5G 가입자 2,324만여 명의 전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종의 개인정보가 유출된 사실이 확인된 데 따른 것이다.피해자 측은 “잘못이 확인됐는데도 법정에서는 과징금과 손해배상은 별개라며 책임을 회피하는 태도”라며 분노하고 있다. 기본조차 지켜지지 않은 보안 관리조사 과정에서 드러난 SKT의 보안 실태는 충격적이었다. 인터넷망과 내부망의 통제가 제대로 이뤄지지 않았고, 서버 계정 관리도 허술했다. 이미 취약점이 알려진 운영체제를 방치했고, 보안 백신조차 설치하지 않은 사실도 확인됐다. 개인정보위는 이를 “총체적 보안 관리 부실”로 규정했다. 전문가들은 이를 단순한 실수가 아닌, 기본적인 보안 관리조차 지키지 않은 결과로 봤다. 피해자 측 “국민 기만, 용납 못 해”집단소송을 대리하는 법무법인(유한) 대륜은 SKT의 답변서에 따른 주장을 강하게 비판했다. 손해배상 집단소송을 이끄는 대륜 특별수행본부(조영곤·여상원·김명철 변호사)는 “정부 조사에서 이미 보안 관리 부실이 드러났고 과징금까지 부과됐다. 그럼에도 법원에서 기각을 주장하는 것은 피해자와 국민을 기만하는 행위”라고 지적했다. 또한 "이번 사건을 단순한 배상 문제가 아닌 국민 권리의 문제이며, 무너진 통신 보안 시스템과 기업의 법적 책임을 끝까지 묻겠다”고 밝혔다. 국민적 공분 가능성SKT의 이번 입장은 법적 방어 논리일 수 있지만, 전례 없는 과징금이 내려진 상황에서 책임을 전면 부정하는 태도는 국민 불신을 키울 수밖에 없을 것으로 보인다. 향후 법원의 판단이 피해자 권리 회복뿐 아니라, 향후 다른 기업의 대응 기준이 될 전망이다.
2025.09.16
"개인정보 유출사고 반복 기업은 '징벌적 과징금'…노력 기업엔 인센티브" 정부가 SKT의 대규모 고객 유심(USIM) 정보 유출 사태를 계기로 같은 원인으로 개인정보 유출 사고가 반복되는 기업에는 중장기적으로 징벌적 과징금 도입을 검토한다. 반면 개인정보보호를 위해 노력한 기업에는 인센티브가 주어진다. 개인정보보호위원회는 11일 '개인정보 안전관리 체계 강화 방안'을 발표했다. 이번 대책은 최근 SKT 고객정보 유출 사고에서 밝혀진 제도적·기술적 미비점을 보완하고, 급속히 발전하는 해킹 기술에 대응하기 위해 마련됐다. 개인정보위는 비슷한 사고를 예방하기 위해 주요 개인정보처리시스템의 취약점을 제거하고 이상징후를 탐지하는 '공격표면관리'를 강화한다. 주요 정보에 대한 암호화 적용도 확대한다. 한편 평소부터 선제적 보호조치를 한 기업에는 과징금을 감경해주는 등 인센티브를 제공하고, 유출된 정보가 다크웹 등에서 불법 유통되는지도 탐지해 2차 피해를 차단할 계획이다. 개인정보보호관리체계(ISMS-P) 인증은 현장 심사 중심으로 고도화하고 이동통신 등 핵심 분야에는 단계적 의무화를 검토한다. 기업 내부통제 강화를 위해 개인정보 보호 인력·예산 투자 기준을 제시하고, 이를 충족한 기업에는 혜택을 부여한다. 전문 개인정보보호책임자(CPO) 지정 의무기관은 최소 1명 이상 개인정보보호 전담인력을 배치하도록 추진한다. 전문 CPO 지정 의무기관은 매출액 1500억원 이상, 100만명 이상의 개인정보를 처리하는 기업을 포함한다. 일반 기업과 상급종합병원, 대학, 주요 공공시스템 운영기관 등 700여 곳이다. 전체 정보화 예산의 10% 이상은 개인정보보호예산으로 확보한다. 예산 기준을 충족하면 인센티브를 주는 방식도 검토 중이다. 최고경영자(CEO)가 개인정보 보호와 위험 관리에 최종 책임을 지도록 하고, 개인정보보호책임자(CPO)는 지정 신고제 도입, 이사회 정기 보고, 직무 보장 등을 통해 실질적 권한을 행사하도록 한다. 양청삼 개인정보위 개인정보정책국장은 "CPO가 서비스의 코어망에 대해서도 폭넓게 접근할 수 있도록 하고, CPO 임명에 관해 일정한 절차를 두는 등 법률·시행령 개정을 추진하겠다"며 "CPO가 명실상부하게 기관, 기업 내에서 개인정보 처리와 보호와 관련된 담당자로서 해야 할 역할을 할 수 있게 하겠다"고 설명했다. 개인정보위는 CPO와 정보보호최고책임자(CISO) 겸직을 제한하는 것은 고려하고 있지 않다고 덧붙였다. 최장혁 개인정보위 부위원장은 "CISO하고 CPO의 업무를 딱 나누긴 어렵고 사실 두 분야가 힘을 합쳐야 되는 부분"이라며 "지금 상황에서 엄격하게 겸직 제한을 둘 이유는 없다고 생각한다"고 밝혔다. 공공부문에 의무화된 '개인정보 영향평가'도 민간에 적용하며, 클라우드 사업자·설루션 공급자 등 법적 사각지대 관리도 강화한다. 개인정보위는 같은 원인으로 반복 유출 사고가 발생하는 기업에는 과징금을 가중하고 중장기적으로 징벌적 과징금 도입도 검토한다. 피해가 예상되면 실제 유출된 사람뿐만 아니라 유출 가능성이 있는 사람까지 통지 대상을 넓힌다. 과징금을 피해자 구제에 활용하는 방안도 추진한다. '개인정보 옴부즈만'을 설치해 시장 감시와 권리구제를 지원하고, 전문 인력 양성과 신기술 대응 체계도 강화한다. 일정 규모 이상의 기업에는 개인정보 유출에 대비한 보험상품 개발을 유도해 손해배상 보장제도의 실효성을 높인다. 개인정보위는 이번 대책이 현장에 안착할 수 있도록 사업자 설명회와 의견수렴을 거쳐 합리적 기준을 마련한 뒤 법령 개정과 예산 확보 등 후속 조치를 이어가겠다고 밝혔다. 고학수 개인정보위원장은 "사업자들이 개인정보 보호를 위한 투자를 단순히 '불필요한 비용'으로 여기지 말고, 고객 신뢰 확보를 위한 '기본적 책무'이자 '전략적 투자'로 인식해야 한다"고 밝혔다.
2025.09.11
'개인정보 유출' 몽클레르, 과징금·과태료 8800만원 부과 개인정보보호위원회는 개인정보 안전조치를 소홀히 한 결과 23만명 가까이 개인정보가 유출된 몽클레르코리아에 과징금 8101만원 및 과태료 720만원을 각각 부과한다고 11일 밝혔다. 개인정보위는 전날인 10일 정부서울청사에서 전체 회의를 열어 이같이 의결했다. 개인정보위에 따르면 몽클레르는 2021년 12월 개인정보처리시스템 해킹으로 고객 정보가 유출된 사실을 2022년 1월 17일 인지했다. 유출된 정보는 성명, 생일, 이메일주소, 카드번호, 배송방법, 쇼핑특성, 신체 사이즈를 제외한 구매 정보 등이다. 개인정보 유출 사실을 통지하는 법정 기한은 24시간이었지만, 몽클레르는 이를 넘어 2022년 1월 20일 이용자에게 이같은 사실을 통지했다. 개인정보위에도 이틀 뒤인 1월 22일에야 신고했다. 개인정보보호법은 24시간 내 유출 사실을 신고·통지하도록 규정하고 있었다. 현재는 2023년 9월 개정된 개인정보보호법에 따라 개인정보처리자가 72시간 이내에 유출을 신고·통지해야 한다. 해커는 관리자 권한을 가진 직원의 계정을 탈취해 보안정책을 관리하는 도메인 컨트롤러 서버에 악성 소프트웨어를 심어, 고객 개인정보를 빼내고 기존 데이터를 암호화했다. 몽클레르는 2019년 6월부터 웹사이트를 운영하면서 직원이 개인정보처리시스템에 접속할 때 아이디와 비밀번호 외에 일회용 비밀번호(OTP) 등 추가 인증수단을 적용하지 않은 사실이 드러났다. 개인정보위는 "개인정보처리자는 직원이 정보통신망을 통해 관리자페이지 등 개인정보처리시스템에 접속할 때 아이디와 비밀번호 외에 일회용 비밀번호 등 안전한 인증수단을 추가로 이용하도록 조치해야 한다"고 당부했다.
2025.09.11
