과기부·개인정보보호위, 29일 관계기관 대책 회의 개최개인정보법 위반 과징금·1000만명 이상 유출시 인증 취소
-
- ▲ 쿠팡 본사. ⓒ뉴시스
정부가 개인정보 보호법 위반으로 과징금 처분을 받거나 1000만명 이상의 개인정보 유출 피해를 발생시킨 기업에 대해 ISMS·ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 취소하기로 했다.과학기술정보통신부와 개인정보보호위원회 등은 29일 쿠팡 개인정보 유출 사태와 관련 관계기관 대책회의를 열고 이같이 결정했다고 밝혔다.과기부와 개인정보위는 지난달부터 운영 중인 관계기관 합동 제도개선 TF를 통해 최근 쿠팡 개인정보 유출사고를 계기로 ISMS·ISMS-P 인증취소 방안을 논의해왔다.쿠팡은 2021년과 2024년 두 차례 ISMS-P 인증을 받았지만, 이번 대규모 유출 사고를 포함해 지금까지 4건의 개인정보 유출 사고가 발생하면서 제도 실효성 논란이 제기됐다. ISMS-P는 과학기술정보통신부와 개인정보위가 공동 운영하는 국내 유일의 정보보호·개인정보보호 관리체계 인증 제도다.이에 따라 정부는 인증기업이 개인정보 보호법 위반으로 과징금 등의 처분을 받은 경우 위반행위의 중대성을 따져 인증을 취소한다. 특히 1000만명 이상의 피해 발생, 반복적 법 위반, 고의·중과실 위반행위로 사회적 영향이 큰 경우에는 원칙적으로 인증을 취소한다는 방침이다.정보통신망법에서도 망법 등을 위반하고, 그 행위가 중대한 경우 인증취소할 수 있도록 법 개정을 추진 중이다. 정부는 법 개정이 완료될 경우 관련 세부기준을 수립할 예정이다.인증 취소 이후의 관리 방안도 마련한다. 구체적으로 인증 취소 이후 1년간 재신청 유예기간을 둬 실질적인 보안 개선이 이루어지도록 유도하고, 해당 기간에는 인증의무 미이행 과태료를 면제해 기업의 불필요한 부담을 방지할 예정이다.또한, 의무대상이 아닌 기업의 경우에도 지속적 관리체계를 구축하기 위해 인증 재취득을 권고한다.과기부 관계자는 "인증 사후심사시 기준을 미달하는 등 인증받은 기업이 정보보호관리체계의 수준을 지속 유지하지 않는 경우 인증취소를 적극 실시하여 정부 인증제의 제도의 실효성을 높이겠다"고 밝혔다.개인정보위 관계자는 "앞으로도 지속적 협력을 통해 인증기준에 미달하거나 중대한 위반이 있는 기업은 인증을 유지할 수 없도록 엄격히 관리하여 인증제도의 신뢰성을 회복해 나가겠다"고 밝혔다.
