최근 개인정보 유출 사건의 증가와 함께, 기업의 개인정보 보호 체계에 대한 법적·행정적 책임이 점차 강화되고 있습니다.
특히 개인정보보호책임자(CPO)의 존재에도 불구하고 법 위반 사례에 대해 막대한 과징금이 부과된 케이스가 다수 발생함에 따라, 형식적인 CPO 지정만으로 기업의 법적 의무를 다했다고 보기 어렵습니다.
개인정보 보호는 더 이상 ‘누구를 지정했는가’의 문제가 아니라, ‘어떻게 보호 체계를 실효성 있게 운영하고 있는가’의 문제로 전환되고 있습니다. 이에 따라 기업이 고려해야 할 대응 방안을 정리해봅니다.
■ CPO의 법적 지위와 역할
법은 개인정보보호법 제31조는 개인정보처리자에게 CPO 지정을 의무화하고 있으며, 이를 위반할 경우 1천만 원 이하의 과태료를 부과하고 있습니다.
CPO는 조직 내에서 개인정보 처리 전반을 총괄하며, 개인정보보호 계획 수립, 위험 관리, 유출 대응, 내부통제시스템 운영, 교육 시행 등 포괄적인 업무를 수행합니다.
특히, CPO는 다음과 같은 자격요건과 선임 기준을 충족해야 합니다.
-기업: 대표자, 임원 또는 개인정보 업무 담당 부서의 장 중 대표자가 지정한 자
-공공기관: 4급 또는 3급 이상 공무원, 또는 개인정보 담당 부서의 장
■ 개인정보 유출 시, 기업이 직면하는 법적 리스크
지난 해 12월, 개인정보보호위원회는 다이렉트 자동차보험 판매 관련 손해보험사들에 대한 실태조사를 실시한 결과, 일부 보험사가 이용자의 명확한 동의 없이 개인정보를 마케팅 목적으로 활용한 사실을 확인하고, 이에 과징금 부과 및 시정명령을 내린 바 있습니다.
이에 A사, H사, M사 등 4개 보험사에는 과징금 92억 770만원이 부과되었는데요, 위원회는 본 사안에서 개인정보보호책임자의 사전 검토 및 내부통제 절차가 실질적으로 작동하지 않았던 점을 지적하였습니다.
CPOI의 역할을 단순히 형식적인 ‘직책’에 머무는 것이 아닌, 개인정보 처리의 적법성과 내부통제 시스템의 실질적 점검·관리 책임을 강조한 것입니다.
이처럼 개인정보가 유출될 경우 기업은 유출 규모에 따라 수천만 원에서 수십억 원에 이르는 과징금과 행정처분을 받을 수 있으며, 기술적·관리적 보호조치 이행 여부가 제재의 핵심 판단 기준이 됩니다.
나아가 피해자에 의한 민사상 손해배상 청구 소송은 물론, 기업 브랜드 가치 및 주가 하락, 거래처 이탈 등 2차 피해로 이어질 수 있습니다.
■ CPO의 실무적 한계는?
CPO는 기업 내 개인정보 처리 전반을 관리·감독하는 핵심 인물이지만 현실적으로는 전문성과 독립성을 확보하지 못한 채 실질적 역할 수행에 한계를 겪는 경우가 많습니다.
겸직 형태로 지정되거나, 권한과 예산이 부재한 명목상 CPO에 불과한 사례가 빈번하게 나타나고 있습니다.
결국 법적 요건을 충족했음에도 불구하고 실질적으로는 기능하지 않는 CPO 체계가 적지 않은 실정입니다.
이러한 한계로 인해 유출 사고가 반복되었으며, 이에 따라 CPO의 전문성 강화 필요성이 지속적으로 제기되어 왔습니다.
이에 개인정보보호위원회는 2024년 3월 개인정보 보호법 시행령을 개정하여 CPO의 구체적인 자격 요건을 새롭게 규정하였습니다.
1. CPO 경력 요건 신설
시행령 개정을 통해, CPO는 총 4년 이상의 관련 분야 경력을 보유하여야 하며, 이 중 2년 이상은 반드시 개인정보 보호 분야에 해당되어야 합니다.
경력에 포함되는 분야는 ▲개인정보 보호 ▲정보보호 ▲정보기술 등이며, 이는 CPO의 실질적인 역량 확보를 위한 요건 강화로 해석됩니다.
전문 CPO 지정이 의무화된 대상은 다음과 같습니다.
-연간 매출액 1,500억 원 이상이면서 100만 명 이상의 개인정보 또는 5만 명 이상의 민감정보·고유식별정보를 처리하는 대규모 개인정보처리자
-재학생 수 2만 명 이상인 대학교
-상급종합병원
-공공시스템 운영기관
이와 같은 기관은 위 요건을 충족하는 인사를 전문 CPO로 지정하여야 하며, 이를 통해 조직 내 실질적인 개인정보 보호 거버넌스 구축을 기대할 수 있습니다.
2. CPO의 독립성 보장 의무 신설
2023년 3월 개정된 개인정보 보호법은 CPO의 업무 수행 독립성을 개인정보처리자의 의무로 명시하였습니다.
이에 따라 CPO는 개인정보 처리 관련 정보에 자유롭게 접근할 수 있고, 수립한 보호계획 결과를 대표자 또는 이사회에 직접 보고할 수 있는 체계를 갖추게 되었습니다.
이로써 CPO는 단순한 행정적 관리자가 아닌, 기업의 개인정보 보호 정책에 실질적 영향을 미치는 독립된 의사결정 주체로서의 법적 기반을 확보하였습니다.
■ 기업, 체계적이고 실행력 있는 관리체계 구축 필요
정부는 CPO의 권한과 책임을 강화하는 방향으로 관련 정책을 지속 추진하고 있습니다.
이에 따라 기업은 CPO가 실질적으로 개인정보 보호 책임자로서의 역할을 수행할 수 있도록 체계를 정비해야 하며, 단순한 지정만으로는 법적 책임을 면하기 어려운 환경이 조성되고 있습니다.
CPO는 내부통제와 적법성 검토의 핵심 역할을 수행하는 축이라는 점에서, 아래의 사항을 중심으로 체계를 구축하는 것이 요구됩니다.
1. 실질적인 CPO 체계 재정비화
기업은 현행법상 경력 요건을 충족하고 있는지 여부를 점검하여야 하며, 업무 독립성 보장을 위한 조직 구조, 보고 체계 등을 설계해야 합니다.
겸직 구조일 경우, 개인정보 보호에 관한 전담 조직 구성 및 역할 범위를 명확히 설정하고 문서화하는 절차가 필요합니다.
2. 내부통제 시스템 고도화
개인정보 처리 과정 전반에 대해 각 부서와 협력하여 정기적인 검토 절차를 마련하고, 내부 감사 체계를 수립해야 합니다.
이 과정에서 CPO가 실질적 거부권 또는 수정 권한을 행사할 수 있도록 제도적 기반을 강화해야 합니다.
3. 기술적·관리적 보호조치 점검
개인정보 암호화, 접근권한 설정, 로그 추적 및 이상 탐지 시스템 등 기술적 조치에 대한 정기 점검이 필요합니다.
더불어 모의 해킹 및 위기 대응 훈련 등을 통해 실제 사고에 대비할 수 있는 대응 체계를 갖추어야 합니다.
4. 교육 및 조직 문화 개선
개인정보 보호에 대한 전사적 이해 제고를 위해 직원 대상 교육을 정례화하고, 이해하기 쉬운 업무 매뉴얼과 실질 지침을 배포하는 것이 바람직합니다.
■ 기업의 정보보호 투자 경각심 일깨운 SKT 유심 해킹 사건
최근 해커에 의한 악성코드로 SK텔레콤 이용자의 유심 정보가 대거 유출되는 사고가 발생했습니다.
유출된 정보는 가입자 전화번호 및 가입자 식별번호(IMSI) 등 유심 정보가 유출된 것으로 알려졌습니다.
과학기술정보통신부는 개인정보 유출 등 피해현황, 보안취약점 등 사고의 중대성을 고려, 면밀한 대응을 위해 과기부 정보보호네트워크정책관을 단장으로 하는 비상대책반을 구성해 조사하고 있습니다.
일각에서는 고객 정보 보호에 필수적인 정보보안 분야의 투자가 상대적으로 미흡했기 때문에 이와 같은 사고가 발생했다는 주장이 나오고 있습니다.
지난해 과기부가 공개한 '2024 정보보호 공시 현황 분석 보고서'에 따르면 이통3사 정보보호 투자규모는 KT 1천218억 원, LG유플러스 632억 원, SKT 600억 원 순이었습니다.
전년 대비 증가폭은 LG유플러스가 190억 원으로 가장 많았으며, KT와 SKT가 각각 183억 원, 50억 원으로 나타나, 정보보호에 대한 미온적 투자가 지적을 받은 겁니다.
현재 해킹 공격을 당한 SKT 가입자들은 집단소송(피해자 공동 소송 제기로 권리를 보호하는 것)을 준비하고 있는 것으로 나타났습니다.
집단소송의 경우 피해 손해배상이 주된 목적이며, 집단소송의 경우 소송 당사자가 아니더라도 유사한 피해를 입은 모든 사람에게 판결의 효력이 미친다는 특징이 있습니다.
가입자들은 ‘SKT 개인정보 유출 집단소송 카페’를 개설해 해당 사태가 보이스피싱, 금융 사기 등 피해로 이어질 수 있는 심각한 개인정보 침해라고 주장하며 소비자 피해에 대한 법률 대응에 나서겠다는 의사를 밝혔습니다.
현재 국방부, 공공 및 산하기관은 전군 간부 및 업무용 단말기기를 대상으로 SKT 유심 교체 등을 권고한 것으로 나타났습니다.
유상임 과기부 장관에 따르면 ‘SK텔레콤이 만 하루가 지난 시점에서 한국인터넷진흥원(KISA)에 침해 사실을 신고해, 하루 더 늦게 신고한 점은 합당한 처벌을 받을 것’이라고 밝히기도 했습니다.
KISA 측에는 침해 사고가 발생하면 24시간 안에 보고하도록 하고 있기 때문입니다.
SK텔레콤 측은 사안의 중대성을 고려해 피해 발생 원인과 내용을 파악하는 과정에서 신고가 늦어진 것일뿐, 고의적 지연 의도는 없었다고 해명했습니다.
이번 사태는 개인정보보호법상 기술적, 관리적, 물리적 안전성 확보조치 등 법령상 의무가 준수되었는지가 함께 쟁점이 되는 상황입니다.
침해사고 초기 대응의 부적정성까지 문제가 된 상황이므로 CPO 지정뿐만 아니라 보다 포괄적인 측면에서 법을 준수했는지 여부 전반을 살펴야 하며, 향후 개인정보위 및 과기부 조사결과에 따라 상당한 제재가 불가피할 것으로 전망됩니다.
개인정보보호법 개정 시행에 따라 개인정보처리자는 전체 매출액의 100분의 3을 초과하지 않는 범위 내에서 과징금을 부과할 수 있습니다.
2024년 SK텔레콤의 매출은 약 18조원이었으므로, 과징금은 5천억 원을 웃돌 것으로 보입니다.
정보통신망법에 의해, 침해사고를 인지한 뒤 즉시 한국인터넷진흥원에 지체 없이 공유하지 않은 경우 3천만원 이하의 과태료를 부과합니다.
■ 개인정보 보호, 전문 변호사 도움이 필요한 이유
개인정보 보호 관련 법령은 지속적으로 개정되고 있으며, 위반 시 제재 수준도 강화되고 있습니다.
이러한 환경 속에서 기업이 모든 리스크를 자체적으로 식별·관리하는 데에는 현실적 한계가 존재합니다.
이제는 단순한 컴플라이언스 대응을 넘어, 기업의 개인정보 운영에 따른 리스크를 통합적으로 조율할 수 있는 전문 변호사의 조력이 반드시 필요합니다.
법 개정 이후, CPO는 기술적·관리적 보호조치까지 아우르는 실질적 책임을 부담하게 되었으며, 이에 따른 미이행 시 기업 전체가 과징금 부과, 손해배상 소송 등 심각한 리스크에 노출될 수 있습니다.
또한 개인정보 유출 사고 발생 시에는 초기 대응이 무엇보다 중요하며, 골든타임 내에 적법한 절차를 밟기 위해서는 전문 변호사의 법률 자문이 필수적입니다.
법률적 조력 없이 기업 자체적으로 대응하거나, 사고를 은폐할 경우 오히려 제재 수위가 높아지며 고객 신뢰도 하락 리스크가 확산되는 2차 피해로 이어질 수 있습니다.
전문 변호사는 사고 발생 시 ▲개인정보보호위원회 보고 ▲고객 통지 ▲내부 감사 자료 정리 ▲언론 대응 등 복합적인 업무를 전략적으로 조율합니다.
법률 리스크는 사후 대응보다 사전 예방이 훨씬 효율적입니다.
따라서, 전문 변호사의 도움을 받아 내부 정책 수립과 리스크 진단, CPO 컨설팅, 위탁업체 점검 체계 구축 등 기업 맞춤형 개인정보 보호 체계를 설계하고 운영하시기를 권고드립니다.
관련하여 문의사항이 있으시다면 🔗기업법무그룹 법률상담예약 또는 1660-1037(핫라인)으로 연락주시기 바랍니다.
