2021.06.22

강은성의 보안 아키텍트ㅣ과징금은 개인정보 보호의 만능열쇠인가?

강은성 | CIO KR
2018년 5월 발효한 유럽연합의 일반 개인정보보호법(GDPR)에서 법령 위반에 따른 과징금 규모가 크다는 것은 세계적으로 잘 알려져 있다. 일례로 2019년 1월 프랑스 개인정보 감독기구 CNIL은 개인정보 유출 사고가 발생하지도 않은 구글에 개인정보 처리방침과 개인정보 수집 동의 등 구글의 개인정보 처리 프로세스의 적법성이 확보되지 않았다는 이유로 GDPR 사상 최대 금액 5천만 유로(한화 약 642억 원)의 과징금을 부과해 전 세계의 관심이 쏠렸다. 국내에서 2017년부터 GDPR에 관심이 많았던 것도 최대 2천만 유로 또는 전 세계 매출액의 4%에 이르는 엄청난 과징금의 영향이 컸던 게 사실이다.

그런데도 개인정보 관련한 세계 최고의 금전적 제재는 유럽연합이 아닌 미국에서 있었다. 2019년 7월 미국 연방거래위원회(FTC)는 2018년 3월에 드러난 ‘페이스북-케임브리지 애널리티카 개인정보 유출 사건’을 비롯해 그전부터 발생한 페이스북의 개인정보 침해 행위에 대한 벌금으로 50억 달러(약 5조 9천억 원)를 부과하기로 페이스북과 합의했다. 하지만 내용을 좀 더 살펴보면 FTC가 페이스북에 금전적 제재만 부과한 것이 아니다. 
 
그림1. FTC가 페이스북과 합의한 개인정보보호 거버넌스 ⓒFTC 홈페이지

FTC는 페이스북의 오너이자 CEO인 마크 저커버그가 페이스북에서 개인정보 침해 사건이 계속 발생하는 근본적 원인이라고 보고 저커버그의 통제에서 벗어난 개인정보보호 체계를 구성했다.

즉 CEO에게서 독립한 개인정보보호위원회를 구성하고 이 위원회의 승인을 받은 준법감시인을 선임하도록 했다. CEO와 준법감시인에게는 서로 독립적으로 FTC가 명령한 개인정보보호 프로그램을 준수하고 있다는 점을 분기별로 증빙을 제출하고, 1년에 한 번은 전체적으로 FTC의 명령을 준수하고 있다는 증빙을 제출하는 의무를 부과했다. 

개인정보보호 담당 조직의 관점에서 본다면 FTC의 명령을 준수하고 분기별로 그 증빙을 갖추는 일은 쉽지 않지만 오너 CEO가 법령을 위반해 개인정보 이용을 지시하는 것을 차단할 수 있고 제대로 된 개인정보보호 거버넌스의 전사적 작동, 실무 조직 보강, 업무 환경 개선 및 원활한 업무 수행, 회사 내의 전반적인 개인정보보호 협력체계 개선 및 구성원 인식 제고 등을 이루는 의미 있는 시간이 될 것이다. 3년~5년 이런 과정을 거치면 회사의 개인정보보호 수준이 향상될 수 있다. 

국내에서도 개인정보처리자의 개인정보 유출 사고에 대한 과징금의 규모가 상당히 커졌다. 2015년 개인정보 유출 사고가 발생한 A사에 부과된 과징금은 1억 200만 원으로 액수가 그리 많아 보이지 않지만 ‘관련 매출액’의 약 2.1%에 해당하는 금액이었다. 이후 개인정보 유출 사고에 대해 관련 매출액의 1% 이상, 수억 원~수십억 원의 과징금이 부과된 사건이 여럿 생겼다. 

하지만 몇 년이 지난 지금 그러한 기업의 개인정보 보호 수준이 향상됐는지 알기 어렵다. 규제당국이 부과하는 행정처분에 ‘시정조치’가 포함되긴 하지만 주로 단편적인 법규 위반 행위의 개선을 요구하는 것에 그치고 이마저도 계속해서 감시가 이뤄지지 않는 것 같다.

예를 들어 2017년에 개인정보 유출 사고가 발생한 B사에 대해 제재 심의 회의에 참석한 한 방송통신위원회 상임위원이 "(보안에 관련하여) 종합 불량 선물세트나 다름없고, 유출 사태 이후 여전히 미흡한 점이 보인다"라고 비판한 기사가 있었다. 하지만 이 회사가 이후 개인정보보호를 위한 조직과 인력의 확보, 보안시스템 투자 등 개인정보 보호조치를 제대로 하고 있는지 의문이다. 

개인정보 유출 사고 재발로 가중된 과징금을 받은 회사도 있는데, 이런 건에 대한 대책 역시 필요하다. FTC 방식을 원용하면, 매출액 대비 1% 이상 또는 1억 원 이상의 과징금이 부과된 기업에 거버넌스, 조직, 정책, 기술에 걸쳐 근본적인 개선 대책을 제시하고, 이후 3년 정도 결과를 감시하는 방식을 도입하는 것이 어떨까 한다. 과징금을 부과받고 사회적인 비난이 클 때 반짝 ‘시늉’만 하다가 원래 상황으로 복귀하는 문제를 해결할 수 있지 않을까 싶다.

과징금의 용도도 개선할 필요가 있다. 일반적으로 과징금은 국고의 일반 회계에 귀속시켜 용도를 한정하지 않지만 국민건강보험법이나 철도사업법, 환경정책기본법 등 일부 법률에서는 그렇지 않다. 예를 들어 국민건강보험법에서는 과징금의 용도를 “요양급여 비용, 응급의료기금, 재난적 의료비 지원사업”에 대한 지원 자금으로 한정한다. 

개인정보보호위원회가 개인정보보호법 2차 개정안에서 ‘전체 매출액’의 3%로 과징금을 올리고자 한다면 그것의 사용처를 국내 개인정보보호 수준을 높이는 데 사용하는 것을 검토해 볼 필요가 있다. 특히 개인정보 유출 사고와 같이 정보주체의 피해가 발생한 건의 과징금은 이와 직·간접적으로 관련된 분야에 사용하는 것이 타당해 보인다.

데이터가 4차 산업혁명의 토대가 되면서 개인정보 활용에 대한 기업의 요구에 대해 가명 정보 몇 결합 처리, 마이데이터 사업, 빅데이터 분석 등 정부의 대응이 빠르게 진화하고 있다. 그만큼 개인정보보호 법규 준수와 실질적인 개인정보 보호에 대한 기업의 책임, 그리고 그에 대한 규제당국의 역할 역시 커질 수밖에 없다. 

규제당국이 부과하는 과징금은 기업의 책임을 묻는 주요한 행정 수단이고, 대규모 과징금이 기업의 ‘경각심’을 높이는 데까지 역할을 했지만, 한계 역시 드러내고 있다. 과징금을 중심으로 한 개인정보 유출 사고 행정처분에 관한 종합적인 검토가 필요한 때다.


* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr
 



2021.06.22

강은성의 보안 아키텍트ㅣ과징금은 개인정보 보호의 만능열쇠인가?

강은성 | CIO KR
2018년 5월 발효한 유럽연합의 일반 개인정보보호법(GDPR)에서 법령 위반에 따른 과징금 규모가 크다는 것은 세계적으로 잘 알려져 있다. 일례로 2019년 1월 프랑스 개인정보 감독기구 CNIL은 개인정보 유출 사고가 발생하지도 않은 구글에 개인정보 처리방침과 개인정보 수집 동의 등 구글의 개인정보 처리 프로세스의 적법성이 확보되지 않았다는 이유로 GDPR 사상 최대 금액 5천만 유로(한화 약 642억 원)의 과징금을 부과해 전 세계의 관심이 쏠렸다. 국내에서 2017년부터 GDPR에 관심이 많았던 것도 최대 2천만 유로 또는 전 세계 매출액의 4%에 이르는 엄청난 과징금의 영향이 컸던 게 사실이다.

그런데도 개인정보 관련한 세계 최고의 금전적 제재는 유럽연합이 아닌 미국에서 있었다. 2019년 7월 미국 연방거래위원회(FTC)는 2018년 3월에 드러난 ‘페이스북-케임브리지 애널리티카 개인정보 유출 사건’을 비롯해 그전부터 발생한 페이스북의 개인정보 침해 행위에 대한 벌금으로 50억 달러(약 5조 9천억 원)를 부과하기로 페이스북과 합의했다. 하지만 내용을 좀 더 살펴보면 FTC가 페이스북에 금전적 제재만 부과한 것이 아니다. 
 
그림1. FTC가 페이스북과 합의한 개인정보보호 거버넌스 ⓒFTC 홈페이지

FTC는 페이스북의 오너이자 CEO인 마크 저커버그가 페이스북에서 개인정보 침해 사건이 계속 발생하는 근본적 원인이라고 보고 저커버그의 통제에서 벗어난 개인정보보호 체계를 구성했다.

즉 CEO에게서 독립한 개인정보보호위원회를 구성하고 이 위원회의 승인을 받은 준법감시인을 선임하도록 했다. CEO와 준법감시인에게는 서로 독립적으로 FTC가 명령한 개인정보보호 프로그램을 준수하고 있다는 점을 분기별로 증빙을 제출하고, 1년에 한 번은 전체적으로 FTC의 명령을 준수하고 있다는 증빙을 제출하는 의무를 부과했다. 

개인정보보호 담당 조직의 관점에서 본다면 FTC의 명령을 준수하고 분기별로 그 증빙을 갖추는 일은 쉽지 않지만 오너 CEO가 법령을 위반해 개인정보 이용을 지시하는 것을 차단할 수 있고 제대로 된 개인정보보호 거버넌스의 전사적 작동, 실무 조직 보강, 업무 환경 개선 및 원활한 업무 수행, 회사 내의 전반적인 개인정보보호 협력체계 개선 및 구성원 인식 제고 등을 이루는 의미 있는 시간이 될 것이다. 3년~5년 이런 과정을 거치면 회사의 개인정보보호 수준이 향상될 수 있다. 

국내에서도 개인정보처리자의 개인정보 유출 사고에 대한 과징금의 규모가 상당히 커졌다. 2015년 개인정보 유출 사고가 발생한 A사에 부과된 과징금은 1억 200만 원으로 액수가 그리 많아 보이지 않지만 ‘관련 매출액’의 약 2.1%에 해당하는 금액이었다. 이후 개인정보 유출 사고에 대해 관련 매출액의 1% 이상, 수억 원~수십억 원의 과징금이 부과된 사건이 여럿 생겼다. 

하지만 몇 년이 지난 지금 그러한 기업의 개인정보 보호 수준이 향상됐는지 알기 어렵다. 규제당국이 부과하는 행정처분에 ‘시정조치’가 포함되긴 하지만 주로 단편적인 법규 위반 행위의 개선을 요구하는 것에 그치고 이마저도 계속해서 감시가 이뤄지지 않는 것 같다.

예를 들어 2017년에 개인정보 유출 사고가 발생한 B사에 대해 제재 심의 회의에 참석한 한 방송통신위원회 상임위원이 "(보안에 관련하여) 종합 불량 선물세트나 다름없고, 유출 사태 이후 여전히 미흡한 점이 보인다"라고 비판한 기사가 있었다. 하지만 이 회사가 이후 개인정보보호를 위한 조직과 인력의 확보, 보안시스템 투자 등 개인정보 보호조치를 제대로 하고 있는지 의문이다. 

개인정보 유출 사고 재발로 가중된 과징금을 받은 회사도 있는데, 이런 건에 대한 대책 역시 필요하다. FTC 방식을 원용하면, 매출액 대비 1% 이상 또는 1억 원 이상의 과징금이 부과된 기업에 거버넌스, 조직, 정책, 기술에 걸쳐 근본적인 개선 대책을 제시하고, 이후 3년 정도 결과를 감시하는 방식을 도입하는 것이 어떨까 한다. 과징금을 부과받고 사회적인 비난이 클 때 반짝 ‘시늉’만 하다가 원래 상황으로 복귀하는 문제를 해결할 수 있지 않을까 싶다.

과징금의 용도도 개선할 필요가 있다. 일반적으로 과징금은 국고의 일반 회계에 귀속시켜 용도를 한정하지 않지만 국민건강보험법이나 철도사업법, 환경정책기본법 등 일부 법률에서는 그렇지 않다. 예를 들어 국민건강보험법에서는 과징금의 용도를 “요양급여 비용, 응급의료기금, 재난적 의료비 지원사업”에 대한 지원 자금으로 한정한다. 

개인정보보호위원회가 개인정보보호법 2차 개정안에서 ‘전체 매출액’의 3%로 과징금을 올리고자 한다면 그것의 사용처를 국내 개인정보보호 수준을 높이는 데 사용하는 것을 검토해 볼 필요가 있다. 특히 개인정보 유출 사고와 같이 정보주체의 피해가 발생한 건의 과징금은 이와 직·간접적으로 관련된 분야에 사용하는 것이 타당해 보인다.

데이터가 4차 산업혁명의 토대가 되면서 개인정보 활용에 대한 기업의 요구에 대해 가명 정보 몇 결합 처리, 마이데이터 사업, 빅데이터 분석 등 정부의 대응이 빠르게 진화하고 있다. 그만큼 개인정보보호 법규 준수와 실질적인 개인정보 보호에 대한 기업의 책임, 그리고 그에 대한 규제당국의 역할 역시 커질 수밖에 없다. 

규제당국이 부과하는 과징금은 기업의 책임을 묻는 주요한 행정 수단이고, 대규모 과징금이 기업의 ‘경각심’을 높이는 데까지 역할을 했지만, 한계 역시 드러내고 있다. 과징금을 중심으로 한 개인정보 유출 사고 행정처분에 관한 종합적인 검토가 필요한 때다.


* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr
 

X