2026.04.13 월요일
검색
'ISMS-P 인증' 검색결과
기간검색
-
~
검색영역
검색어
-
"털리면 회사 휘청"…유럽 뛰어넘는 '매출 10%' 징벌적 과징금 온다 [경제일보] 기업의 개인정보 유출 사고를 실무진의 실수나 IT 부서의 책임으로 꼬리 자르던 관행에 마침표가 찍힌다. 앞으로 중대한 개인정보 침해 사고를 낸 기업은 전체 매출액의 최대 10%에 달하는 징벌적 과징금을 물어야 하며 최고경영자(CEO)가 최종 책임자로 명시된다. 개인정보보호위원회는 이 같은 내용을 골자로 한 '개인정보 보호법' 개정안을 10일 공포하고 오는 9월11일부터 본격 시행한다고 9일 밝혔다. 공공 및 민간 주요 기관에 대한 정보보호 관리체계(ISMS-P) 인증 의무화 규정은 준비 기간을 고려해 2027년7월1일부터 적용된다. 이번 법 개정은 최근 수년간 끊이지 않고 발생한 대규모 개인정보 유출 사태를 근절하기 위한 정부의 초강수다. 기존 사후 처벌 위주의 솜방망이 제재에서 벗어나 기업의 지배구조(거버넌스) 자체를 '보안 우선'으로 뜯어고치겠다는 강력한 의지가 반영됐다. 가장 파장이 큰 변화는 징벌적 과징금 제도의 도입이다. 기존 법 체계에서는 과징금 상한선이 '전체 매출액의 3% 이하'였으나 이번 개정으로 '반복적이거나 중대한 위반행위'에 대해서는 상한선이 전체 매출액의 10%까지 대폭 상향됐다. 이는 글로벌 최고 수준의 개인정보 규제로 꼽히는 유럽연합(EU)의 일반개인정보보호법(GDPR) 과징금 상한선(전체 매출의 4%)을 훌쩍 뛰어넘는 강력한 제재다. 10% 과징금이 적용되는 '중대 위반'의 기준도 명확히 했다. 최근 3년간 고의 또는 중과실로 위반 행위를 반복한 경우나 1000만명 이상의 대규모 피해를 초래한 경우 그리고 시정명령을 불이행해 유출 사고가 발생한 경우 등이 이에 해당한다. 글로벌 빅테크는 물론 국내 대형 플랫폼과 통신사 등 국민 대다수를 회원으로 둔 기업들에게는 사활이 걸린 리스크가 생긴 셈이다. ◆ '유출 가능성'만 있어도 즉시 통지…랜섬웨어 피해도 포함 개인정보 유출에 대한 기업의 대응 매뉴얼도 전면 개편된다. 과거에는 기업이 내부 조사를 거쳐 '유출 사실이 확실히 확인된 후'에야 정보주체(이용자)에게 통지하는 경우가 많아 피해를 키운다는 지적이 잇따랐다. 앞으로는 '유출 등의 가능성이 있음을 알게 된 때' 즉시 이용자에게 알려야 한다. 사고 초기부터 이용자가 비밀번호를 변경하거나 2차 금융 사기에 대비할 수 있는 골든타임을 확보하기 위함이다. 또한 유출의 개념을 확장해 랜섬웨어 공격 등으로 인한 개인정보의 위조·변조·훼손도 신고 및 통지 대상으로 명문화했다. 데이터를 외부로 빼돌리지 않고 내부 서버를 암호화해버리는 최신 사이버 범죄 트렌드를 법망 안으로 끌어들인 것이다. 더불어 기업은 유출 통지 시 이용자에게 손해배상 청구나 분쟁조정 신청 등 구체적인 피해 구제 방법도 의무적으로 안내해야 한다. 내부 책임 구조의 변화는 기업 지배구조에 상당한 파장을 예고한다. 개정법은 CEO를 개인정보 처리 및 보호의 '최종 책임자'로 규정하고 관리·감독 의무를 법에 명시했다. 보안 사고 발생 시 경영진이 책임을 회피할 수 있는 퇴로를 원천 차단한 것이다. 최고개인정보책임자(CPO)의 위상도 대폭 강화된다. 일정 규모 이상의 기업은 CPO를 지정하거나 해임할 때 반드시 이사회 의결을 거치고 개인정보위에 신고해야 한다. CPO에게는 전문 인력 관리와 예산 확보 권한이 부여되며 관련 사항을 대표와 이사회에 직접 보고하도록 의무화했다. CPO가 경영진의 눈치를 보지 않고 독립적인 보안 통제 타워 역할을 수행할 수 있도록 제도적 방패막이를 쳐준 조치다. 산업계는 바짝 긴장하면서도 전사적인 보안 체계 재구축에 돌입할 전망이다. 징벌적 과징금이라는 거대한 '채찍'과 함께 사전 예방 투자에 대한 '당근'도 명확해졌기 때문이다. 개정안은 기업이 개인정보 보호를 위해 예산과 인력 및 설비를 선제적으로 투자하고 운영한 사실이 입증되면 고의·중과실이 아닌 이상 과징금을 필수적으로 감경해주도록 규정했다. 보안업계 전문가는 이번 개정안이 정보보안 시장의 퀀텀점프를 이끌 것으로 내다본다. 과징금 폭탄을 피하기 위해 대기업뿐만 아니라 중견기업들까지 보안 솔루션 도입과 인프라 확충에 지갑을 열 수밖에 없는 구조가 형성됐기 때문이다. 또한 2027년부터 주요 기관의 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증이 의무화됨에 따라 관련 컨설팅 및 시스템 통합(SI) 산업도 특수를 누릴 것으로 예상된다. 결국 다가오는 9월은 대한민국 산업계가 '데이터 수집을 통한 이윤 창출'에서 '안전한 데이터 관리를 통한 신뢰 확보'로 체질을 완전히 바꾸는 분수령이 될 전망이다.2026-03-09 18:38:31
-
1000만 명 정보 털리면 보안 인증 즉각 박탈... 정부 'ISMS 무용론' 칼 뺐다 [이코노믹데일리] 앞으로 1000만 명 이상의 개인정보 유출 사고를 일으킨 기업은 정부가 부여한 정보보호 인증이 즉각 취소된다. 형식적인 인증 유지로 면죄부를 주던 관행을 타파하고 실질적인 보안 태세를 갖추지 못한 기업에는 강력한 페널티를 부과하겠다는 정부의 의지다. 개인정보보호위원회(위원장 송경희)와 과학기술정보통신부(장관 배경훈)는 29일 한국인터넷진흥원(KISA) 및 금융보안원 등 관계 기관과 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 취소 관계기관 대책회의'를 열고 이 같은 내용의 인증 취소 기준 구체화 방안을 확정했다. 이번 대책은 최근 잇따른 대형 사이버 침해 사고에도 불구하고 해당 기업들이 ISMS 인증을 유지하고 있어 제도의 실효성에 의문이 제기된 데 따른 후속 조치다. 정부가 확정한 방안의 핵심은 '무관용 원칙' 적용이다. 개인정보보호법 위반으로 과징금 등의 처분을 받은 기업 중 위반 행위의 중대성이 큰 경우 인증이 박탈된다. 구체적으로 △1000만 명 이상의 피해 발생 △반복적 법 위반 △고의 및 중과실 위반행위 등으로 사회적 영향이 크다고 판단되면 원칙적으로 인증을 취소하기로 했다. 이는 대규모 유출 사고가 발생해도 인증이 유지돼 소비자에게 '안전한 기업'이라는 잘못된 신호를 주는 것을 막기 위함이다. 사후 관리 체계도 대폭 강화된다. 인증 기업이 연 1회 받아야 하는 사후 심사에서 △외부 인터넷 접점 자산 식별 △접근권한 관리 △패치 관리 등 사고와 직결되는 '핵심 항목'을 집중 점검한다. 점검 결과 해당 항목에서 중대 결함이 발견되거나 사후 관리를 거부하고 자료를 허위로 제출하는 경우 인증위원회 심의를 거쳐 즉시 인증을 취소한다. 단순한 서류 심사를 넘어 실제 보안 시스템이 작동하는지 현미경 검증을 하겠다는 뜻이다. 인증이 취소된 기업에 대한 제재와 회생 절차도 구체화했다. ISMS 인증 의무 대상 기업이 인증 취소를 당할 경우 취소 시점부터 1년간 재신청을 할 수 없게 '유예 기간'을 뒀다. 이는 사고 직후 형식적인 요건만 갖춰 급하게 인증을 다시 받는 꼼수를 차단하고 1년 동안 근본적인 보안 체질 개선을 유도하기 위함이다. 다만 정부는 이 기간 인증 의무 미이행에 따른 과태료는 면제해 기업이 보안 투자에 집중할 수 있도록 배려했다. 정보통신망법 위반 행위에 대한 제재 근거도 마련 중이다. 망법 위반 행위가 중대할 경우 인증을 취소할 수 있도록 법 개정을 추진하고 있으며 개정이 완료되는 대로 세부 기준을 수립할 예정이다. 양 부처는 지난 11월부터 합동 태스크포스(TF)를 운영하며 최근 발생한 보안 사고의 주요 원인을 분석해왔으며 이번 대책에 그 결과를 반영했다. 개인정보위 관계자는 "인증 기준에 미달하거나 중대한 위반이 있는 기업은 인증을 유지할 수 없도록 엄격히 관리하여 인증 제도의 신뢰성을 회복해 나가겠다"고 강조했다. 과기정통부 관계자 또한 "인증 사후 심사 시 기준에 미달하는 등 정보보호 관리체계 수준을 지속 유지하지 않는 경우 인증 취소를 적극 실시하여 정부 인증 제도의 실효성을 높이겠다"고 밝혔다. 업계에서는 이번 조치로 인해 기업들의 보안 경각심이 한층 높아질 것으로 보고 있다. 특히 최근 대규모 개인정보 유출 사태를 빚은 플랫폼 및 통신사들이 강화된 기준의 첫 적용 대상이 될지 이목이 쏠리고 있다.2025-12-30 00:07:28
-
개인정보위 "쿠팡, '노출' 아닌 '유출'로 정정해 다시 알려라"… 행정지도 착수 [이코노믹데일리] 사상 최대 규모인 3370만명의 개인정보 유출 사고를 일으킨 쿠팡이 사태 초기 피해 사실을 '유출'이 아닌 '노출'로 축소 통지한 것에 대해 정부가 시정을 권고했다. 또한 정부는 이번 사태를 계기로 기업의 책임을 강화하기 위해 징벌적 손해배상제도를 현실화하고 무용론이 제기된 정보보호 인증 체계(ISMS-P)를 전면 개편하기로 했다. 개인정보보호위원회(이하 개인정보위)는 3일 긴급 전체회의를 열고 쿠팡에 개인정보 '노출' 통지를 '유출'로 정정하고 누락된 피해 항목을 포함해 이용자에게 재통지할 것을 권고했다고 밝혔다. 개인정보위 조사 결과 쿠팡은 지난달 18일 비정상적 접속으로 고객 정보가 외부로 빠져나간 사실을 확인했음에도 피해자들에게 보낸 문자메시지와 홈페이지 공지에는 '개인정보 노출'이라는 표현을 사용했다. 법적으로 '노출'은 정보가 누구나 볼 수 있는 상태를 '유출'은 통제권을 상실해 권한 없는 자에게 넘어간 상태를 뜻한다. 업계에서는 쿠팡이 집단소송이나 징벌적 배상 리스크를 줄이기 위해 의도적으로 표현을 순화한 것 아니냐는 비판이 제기돼 왔다. 이에 개인정보위는 이용자의 혼선을 막기 위해 용어를 '유출'로 명확히 수정하고 공동현관 비밀번호 등 당초 공지에서 빠진 항목까지 포함해 다시 알리도록 했다. 또한 홈페이지 초기 화면이나 팝업창에 피해 사실을 일정 기간 이상 게시하고 2차 피해 방지를 위한 전담 대응팀(Help Desk)을 확대 운영할 것을 주문했다. 송경희 개인정보위 위원장은 이날 국회 정무위원회 전체회의에 출석해 "과징금을 강화하고 징벌적 손해배상제도의 실효성을 강구할 수 있는 방안을 찾겠습니다"라고 밝혔다. 이는 전날 이재명 대통령이 "피해 규모가 3400만 건으로 방대한데도 사건이 발생하고 회사가 유출 자체를 파악하지 못했다는 게 참으로 놀랍다"며 관계 부처에 실효적인 대책 마련을 지시한 데 따른 후속 조치다. 송 위원장은 "3370만명의 개인정보가 유출됐고 이름, 이메일 주소, 배송지 정보, 주문정보 등이 유출된 것으로 확인됐다"며 "배송지 주소에는 회원뿐 아니라 가족, 지인, 받는 사람 주소와 일부 공동현관 비밀번호가 포함됐다"고 설명했다. 이어 "사업자가 개인정보 보호에 인적·물적 투자를 하도록 효과적인 유인체계를 만들겠다"고 강조했다. 정부는 이번 사고를 계기로 유명무실하다는 지적을 받아온 '정보보호 및 개인정보보호 관리체계 인증(ISMS-P)' 제도도 대대적으로 손질한다. 쿠팡은 ISMS-P 인증을 유지하고 있었음에도 이번 사고를 막지 못했다. 실제로 2020년 이후 ISMS-P 인증 기업에서 발생한 개인정보 유출 사고는 34건에 달한다. 정부는 향후 인증 심사를 기존 서류 중심에서 '모의 해킹'을 포함한 현장 심사 위주로 전환하고 중대 결함 발견 시 인증을 즉시 취소하는 ‘원스트라이크 아웃’ 제도를 도입할 방침이다. 김승주 고려대 정보보호대학원 교수는 “(정부가) ISMS-P를 현실화시키면서 모의 해킹 위주로 검토하는 것 같다”면서 “ISMS-P 평가자들이 있는데 우선 평가자들을 모아놓고 현장의 (여러) 의견을 들어봐야 한다”고 조언했다. 개인정보위 관계자는 "쿠팡이 개선 권고를 따를지 아니면 그렇지 않을지를 보면 (쿠팡이) 국내 소비자를 어떤 식으로 바라보는지 알 수 있을 것"이라며 "개인정보위로서는 우선 쿠팡에 ‘경고’를 한 셈인데 이번 개선 권고를 이행하지 않으면 나중에 실제 제재 때 영향을 줄 수 있다"고 밝혔다. 한편 쿠팡은 지난달 20일 4536개 계정 유출로 1차 신고를 했으나 이후 정밀 조사 과정에서 피해 규모가 3370만 개로 늘어나 지난달 29일 2차 신고를 접수했다. 현재 민관합동조사단이 정확한 유출 경위와 쿠팡의 보안 조치 위반 여부를 조사 중이다.2025-12-03 15:49:43
많이 본 뉴스
영상
Youtube 바로가기
![[사설] 미·이란 협상 결렬과 장기전의 서막… 에너지·수출 안보 비상 플랜 서둘러야](https://image.ajunews.com/content/image/2026/04/13/20260413101458802687_518_323.jpg)