이정렬 개보위 부위원장 "공공 387개 시스템 ISMS-P 의무화"

이정렬 개인정보보호 부위원장은 25일 광화문 소재 서울정부청사에서 기자간담회를 열고 "58개 공공기관의 387개 시스템이 ISMS-P 인증 의무화 대상"이라면서 "개인정보보호 사전 예방 종합계획을 마련, 다음달 중 발표하겠다"고 밝혔다.

이 부위원장은 작년 11월 차관급인 현 직책에 취임했다. 행정고시 36회로 공직에 입문했다. △행정안전부 정보화총괄과장 △인사혁신처 인사관리국장 △행정안전부 정부혁신기획관을 역임하고 위원회가 출범한 2020년 12월 정책국장으로 위원회에 합류한 원년 멤버다.

개인정보 유출과 침해가 크게 늘어 이를 총괄하고 있는 본인과 직원들이 무거운 책임감을 느낀다고 운을 뗀 그는 "2022년만해도 500만건이였던 유출 건수가 작년에 1억 건을 넘었다"고 말했다. 이 중 쿠팡과 SK텔레콤 등 몇 개 유출 사고가 약 절반을 차지한다.

이 부위원장은 공공 분야도 안전지대가 아니라면서 "작년 기준 전체 신고 건수의 28% 정도가 공공이였다"면서 "안전지대가 없는 듯 하다"고 진단했다.

아래는 이 부위원장과 기자들간 위원회 정책에 관한 일문일답. 이 부위원장은 최고개인정보보호책임자(CPO, Chief Privacy Officer)를 꼭 둬야 하는 제도(CPO 지정제)가 법으로 만들어져 학생(대학생과 대학원생)이 2만 명 이상인 대학과 대규모 민감정보(건강정보)를 처리하는 상급종합병원은 다음달 14일까지 CPO를 지정, 운영해야 한다고 밝혔다. 공공기관은 오는 9월14일까지 CPO를 지정해야 한다.

=쿠팡 개인정보 유출 사건 조사가 현재 몇 프로 정도로 진행되고 있나? 언제쯤 발표할 수 있나

"위원회는 신고 유출 신고를 접한 즉시 전담팀을 구성했고, 현재 현장에 상주하며 조사를 하고 있다. 가장 경험 있는 전문가들, 우리 조사단중 정예 요원을 조사팀에 투입했다. 언제 조사가 끝날지 단정적으로 말하기 어렵다. 마무리 단계다. 최대한 빠른 시일에 마무리 지으려 한다.

=SK텔레콤과 과징금 취소 소송중이다. 소송 전담팀 구성은? 예산이나 인력 운영에 어려움은 없는지?

"현재까지 누적 소송 건수는 34건이다. 이는 위원회가 국무총리 소속 장관급 중앙행정기관으로 격상되기 이전에 들어온 소송까지 합친 것이다. 이 중 16건이 완료됐고, 18건이 현재 진행중이다. 계속 증가세다. 위원회 출범 당시만 해도 소송 관련 예산이 1억 남짓이었다. 2026년은 8억이다. 2억, 4억, 8억, 이런 식으로 두 배씩 늘었다. 현재 소송전담 팀은 비직제 팀이다. 정원 2명과 변호사 출신 전문연구원 2명, 실무 담당 주무관 1명 등 5명으로 구성돼 있다. 여기에 공익법무관의 지원을 받고 있다. 소송 전담과가 필요하다고 생각한다. 공정위도 소송 전담과가 있다."

=오늘 대만에서도 개인정보 유출이 된 것으로 보도됐다. 대만과 협력할 계획이 있나

*주: 쿠팡 회원정보가 대만에서도 약 20만 개가 유출, 쿠팡이 2억 대만달러(약 92억 원) 규모의 보상안을 제시

"나도 오늘 아침 언론과 직원 보고를 통해 알게 됐다. 쿠팡 주식회사가 올린 게 아니라 쿠팡 잉크가 올렸고, 자체 조사 결과도 우리가 파악하고 있다. 대만 건은 우리가 확인한 내용이 아니다. 현장에 나가 있는 조사관이 이 부분을 함께 보고 있다. 쿠팡에도 다시 자료를 요청했다. 필요하면, 대만과도 협력할 수 있다."

=지난주 강화된 개인정보보호법 개정안이 국회 본회의를 통과했다. 시행령 개정 등 앞으로 어떻게 진행되나? 업계는 어떤 부분을 우려하고 있고, 이 부분도 시행령에 반영하나?

"고의·중과실에 따른 대규모 개인정보 유출 시 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 하는 개인정보보호법 개정안이 지난 12일 국회 본회의를 통과했다. 기존 과징금 상한(3%)은 유지하되 일정 요건을 충족하는 경우에 한해 적용하는 '징벌적 과징금 특례'가 도입됐고, 세 가지 사유가 이에 해당한다.

첫째, 누가 봐도 고위 중과실 둘째, 천만 건 이상 유출 셋째, 시정명령을 했음에도 불구, 시정명령을 따르지 않아 동일 사유로 위반이 발생한 경우다. 이 세 경우에는 전체 매출액의 10%까지 과징금을 부과할 수 있다. 이들 내용은 시행령에 들어간다. 고시로 풀 부분도 있다. 업계 및 학계와 소통하면서 시행령과 고시를 만들겠다. 6개월 정도 걸릴 것으로 본다. 시행령(안)을 최대한 빠른 시간에 마련해 의견을 듣고 조율하겠다.

이와 함께 필수감경도 뒀다. 고시에 1차 감경, 2차 감경이 있다. 이 부분에 많은 논의가 있었다. 제재는 지금보다 3배 가까이 높아졌다. 이에 선제적으로 모범 투자를 한 경우, 필수적으로 감경해 줄 예정이다. 투자가 비용이 아니라 기업 경쟁력을 확보하는 수단이라는 걸 알리고 싶은 거다. CEO의 책임도 명확히 했다. CPO 권한은 강화했다. 그동안 CEO가 법적 책임을 안졌다. 그래서 최종 책임은 CEO에게 있다는 걸 명확화, 인력과 예산 확보 노력을 할 수 있게 했다. CPO의 경우 개인정보 보호 책임자로서의 실질적 권한을 행사할 수 있게 했다.

CPO를 의무적으로 지정해야 하는 전문CPO제도 시행된다. 이런 기관들이 한 700여개 된다. 다음달 15일부터는 상급종합병원과 대학원 포함 대학생 2만명 이상인 대학이 우선 시행 대상이다. 이어 9월 15일부터는 공공기관도 대상이다. CPO를 지정하거나 변경 및 해임할 때는 반드시 이사회에 보고하도록 했다. 이를 어기면 과태료를 받는다. 2024년 8월 한국CPO협의회를 발족시키며 계속 소통 하고 있다.

셋째, 유출 통지도 강화했다. 가능성이 높은 유출은 통지를 의무적으로 하게 했다. 3~4월에 준비해 여러분들께 보고를 드리겠다.

넷째, ISMS-P 인증 의무화다. 지금은 자율 인증이다. ISMS는 과기정통부 소관으로 의무다. 여기에 위원회의 P(프라이버시) 분야가 들어가 총 101개 항목이 됐고, 자율 인증이다. 공공기관 중 중요한 시스템을 관리하고 있는 운영기관, 우리가 파악하기엔 58개 기관의 387개 시스템인데, 이들은 ISMS-P 인증을 반드시 받게 했다. 공공 분야에 먼저 적용하고 민간으로 확대할 예정이다. 통신사와 플랫폼사 등 국민에게 영향력이 큰 곳이 우선 대상이다. 시행령단에서 처리하려고한다."

=선제적인 투자는 필수 경감을 해준다는데, 선제 투자는 구체적으로 어떤 투자인가?

"많은 요소를 봐야 한다. 말그대로 통상의 경우보다 선제적이고 모범적으로 투자한 경우를 말한다. 산업별, 규모별, 수준별 다양한데, 매트릭스를 짜서 보려한다. 지금 직관적으로 거론되는 건 암호화다. 우리 법이나 지침에는 6개가 의무화인데, 여기서 플러스를 하는 경우 모범적인 선투자에 해당한다. 상시적으로 탐지 차단 조치를 하는 것, 이런 것도 선투자에 해당한다. 선투자를 정량화하는 건 대단히 어렵다. 최대한 업계 의견을 듣고 구체화하겠다. 이 사항은 시행령과 고시까지 내려가야 할 부분이다. 선투자에 해당하는 인력과 예산 증가도 정량화가 힘들다.

현재 650여 중앙부처와 자치단체, 공공기관을 대상으로 현황을 파악하고 있다. 이런 것들을 다 본 뒤에 어느 정도가 모범적인지 등을 파악할 것이다. CPO 지정은 상급종합병원, 내가 알기론 47개인데, 오는 3월 14일까지 CPO를 지정해 신고해야 한다. 공공기관은 9월 14일까지 신고해야 한다. "

=시행령 준비 단계에서 만약에 감경을 한다면, 어느 정도 수준으로 좀 선제 투자하는 경우 혜택을 받게 될지 궁금하다.

"이 제도 취지부터 말하겠다. 필수 감경을 둔 이유가 우리가 체제를 예방 중심으로 바꾸겠다는 대표적인 정책이다. 먼저 예방 투자를 하면 최대한 선처하겠다는 거다. 현재도 필수 감경 제도가 있다. 이 제도의 틀 내에 들어가야 한다. 현 시행령 및 고시와 정합성을 맞춰봐야 해 지금 몇%를 말하기 어렵다."

=사전실태 점검과를 신설했다. 업무가 구체화됐나? 어떤 일을 하나

"사전 실태 점검도 예방 정책의 대표적 제도다. 현재 조사국이 1과 2과 3팀이 있고, 사전점검이 이들 3개 팀에 분산, 시너지가 나지 않고 전문성이 커지지 않았다. 그래서 사전실태 점검과를 만들었다. 정원은 많지 않다. 과장 포함해 7명이다. 최소 규모로 출발을 했다. 우수 인력을 배치해 빠른 성과가 나도록 하겠다. 실태 점검을 포함해 사전 예방 종합계획을 마련, 다음달 중 발표하려 하고 있다. 미리 좀 말하면, 사전 실태 점검을 전면적으로 실시하겠다는 것이다. 규모별로 또는 업종별로. 특히 대규모 고위험 시설 같은 경우는 위원회가 직접하고, 중규모는 위원회나 소관 부처가, 또 영세 소상공인 같은 곳은 컨설팅을 하고 도와줘야 한다."

예방과 관련한 제도 개선도 하려 한다. 선제적 투자도 그런 거다. R&D도 늘린다. 올해 예산은 133억이다. 출발한 지 한 4년 만에 130억대가 됐다. 전문 대학원 과정도 만든다. 2개 대학을 선정, 2개 학과를 운영한다. 한 대학당 15억을 지원한다. 지금 공모중이고, 3월중 결정된다. 4월부터 개설할 것으로 본다."

=KT와 교원 그룹 조사결과는 언제쯤 나오나

"KT는 마무리 단계다. 작년 9월 문제가 된 이래 바로 조사에 들어갔다. 교원은 자료 제출을 요청하고 확인하는 단계다. 시간이 걸릴 듯 하다. 유출 규모를 지금 얘기하기는 어려운 단계다. 교원은 이제 막 시작 단계라고 보면 될 듯 하다."

=전수 조사를 하고, 사전 실태를 전면적으로 조사하는데, 이를 담당할 인력이 있나?

"인력과 시간, 이 부분은 우리가 늘 고민하는 것이다. 사람이 없다고 일을 안하지는 않는다. 지금 있는 인력으로 최대한 버티고 한다. 2022년부터 작년까지 조사관이 31명이었다. 행안부와 기재부 등을 어렵게 설득 했고, 정말 어렵게 지금의 예방심의관실이 만들어졌다. 사전실태점검과는 과장 포함 7명이다. 조사인력은 조사1과 2과 3팀에 6명에서 13명 내외가 늘어났다. 아직도 상당히 어려운 상황이지만, 지금 현재 인력을 총동원, 중요한 사건을 먼저 처리 하는 등 완급도 조정하며, 이렇게 일을 하겠다. "인력이 증원 안 되면 우리 조사 못해" 이렇게는 안한다. 일을 하면서, 해나가면서 인력을 늘려나가겠다. 작년 12월 30일자로 17명이 늘었다."

=다크웹 대응 시스템 구축에 올해 4억원을 투입한다고 했다. 언제 구축하나?

"다크앱은 작년에 아주 어렵게 추경으로 시작 했다. '털린 내 정보 찾기'는 작년에 만들어 올 1월 오픈 했다. 작년 예결위에서 불법 유통, 개인정보, 불법 유통에 대응하기 위해 탐지 차단, 이런 정책이 필요하다면서 20억을 요구했고, 이 중 4억이 반영이 됐다. 이 분야는 이제 시작이다. 불법 개인 및 정보, 불법 유통되는 정보를 어떻게 탐지하고 대응하고 분석해 삭제할 건지는 이제부터가 시작이다. 올해 먼저 할 수 있는 건 솔루션을 도입하는 거다. 그리고 전문 인력을 동원해 탐지하는 것이다. 이를 토대로 내년, 2027년도 예산에 좀 더 반영을 해 나가겠다. 올해부터 설계를 해 몇 년 진행할 예정이다."

=글로벌 개인정보보호 표준개발(R&D)에 15억 원을 쓰겠다고 했는데

"R&D 사업이다. 당초 2022년도에 R&D를 처음 시작할 때는 30억으로 시작했다. 그때도 표준 부문이 있었다. 그때는 5개 분야에서 신기술 분야, 예를 들어 자율주행차다. 올해 하는 건 글로벌 표준을 만들겠다는 거다. 이 사업도 앞으로 최소 3년 이상 갈 거다. 키사(KISA, 한국인터넷진흥원)와 같이 한다. 최소 3년, 길게 5년 이상 갈 것 같다."

=국가AI전략위서 25일 화이트해커 로드맵을 공개했는데....

"화이트해커 양성제를 시행하면 과징금 산정시 반영할 수 있다. "

=서울시 따릉이 문제는 어떻게?

"상당히 많은, 서울 시민의 반 정도 개인정보가 나간 것 같다. 경찰하고는 초기부터 공조를 하고 있다. 현장에 나가 확인을 몇 차례 했고, 추가 자료도 갖고 있다. 전체 10부 능선에서 1~2부에 들어가고 있다. 이제 막 시작한 단계다. (조사가) 한 달이 채 안 됐다. 방향은 다른 조사와 똑같다. 현장조사를 나가 자료 제출을 요청하고 현장에서 확인하고 위법사항이 확인되면 조사처분 절차로 간다. 시간이 좀 걸릴 것 같다. 이제 막 시작했고, 냉정히 보고 있다."