실시간
뉴스

정부공공IT

개인정보 관리 '사후 제재'서 '사전 예방'으로…위험 기반 실태점검 6월 시동

디지털데일리 발행일 2026-05-22 10:58:55
박재현 기자

플랫폼·금융·공공·요양병원 등 고위험군 첫 점검…자발적 투자 기업엔 과징금 감경

5월 22일 정부서울청사에서 열린 예방 중심 개인정보 관리체계 전환 계획 세부 추진 전략 합동브리핑에서 고낙준 개인정보보호위원회 예방조정심의관이 발표하고 있다.[사진=박재현기자]

[디지털데일리 박재현기자] 개인정보보호위원회(개보위)가 오는 6월부터 개인정보 처리 규모와 민감도에 따라 고·중·저 위험군을 나눠 차등 점검하는 위험 기반 실태점검 체계를 가동한다. 올해 첫 점검 대상은 대형 플랫폼, 금융기관, 공공기관, 요양병원 등 4대 분야다.

위반 사항이 나와도 과징금 없이 시정권고로 처리하고, 자발적 보호 투자를 늘린 기업에는 과징금 감경하는 등 인센티브 체계도 9월까지 시행령 개정으로 마련한다.

22일 개보위는 경제부총리 주재 경제관계장관회의에서 '예방 중심 개인정보 관리체계 전환 계획'을 상정·논의했다.

위험군은 처리 규모와 정보 유형으로 나뉜다. 100만 명 이상 개인정보를 보유하거나 고유식별정보·민감정보를 처리하면 고위험군이다. 중위험군은 1만 건 이상 100만 건 미만, 저위험군은 1만 건 미만으로 단독 식별이 어려운 정보를 다루는 곳이다.

실태점검은 제재를 전제로 한 조사 절차와 엄격히 분리된다. 실태점검에서 문제가 발견되더라도 권고를 통한 개선 유도로 이어지며, 개선이 완료되면 추가 행정 절차는 없다. 다만 점검 과정에서 유출 은폐 등 점검 목적 외 위반 행위가 확인될 경우 조사로 전환할 수 있다.

올해 첫 점검 대상은 대형 플랫폼, 금융기관, 공공기관, 요양병원 등 4대 분야다. 다만 6월 착수는 공공기관부터다.

고낙준 개인정보보호위원회 예방조정심의관은 "공공 분야는 현황이 파악된 387개 집중 관리 시스템이 있어 6월부터 바로 점검에 들어갈 수 있다. 민간은 처리자가 1,000만에 가까워 분류 작업이 더 필요하다"고 말하며 "고위험군 중에서는 공공시스템을 중심으로 먼저 시작하고, 민간은 분류 작업을 병행하며 순차적으로 확대할 계획이다"라고 부연했다.

인센티브 체계도 뜯어고친다. 동종 업계 대비 보안 투자 수준과 안전관리체계 운영 실적 등을 근거로 과징금을 깎아주는 방식이다. 구체적인 감경 기준과 폭은 입법예고를 통해 공개된다.

중소·영세사업자의 경미한 법 위반은 기술 지원으로 시정하면 처분을 경감하도록 시행령을 개정하고, 소상공인에게는 외부 전문가가 CPO 역할을 대신하는 구독형 컨설팅도 도입한다.

제도 정비도 함께 이뤄진다. 서비스 기획·설계 단계부터 개인정보 보호를 기본값으로 적용하는 '개인정보 보호 중심 설계(PbD)' 원칙을 개인정보보호법에 명문화하는 개정 작업에 착수한다.

현행법은 사생활 침해 최소화 수준에 머물러 있는데, 개정안은 이를 '기본값 보호'로 확장하고 서비스·시스템 기획 단계에서 PbD 원칙에 따른 설계 의무를 새로 규정하는 방향으로 추진된다.

ISMS-P 인증 의무화 대상은 2027년 7월부터 단계적으로 확대하고, 안전성 확보조치 기준은 올해 개정 방향을 잡아 2028년 전면 개편한다.

공급망 관리도 손본다. SaaS·클라우드 등 개인정보 처리에 관여하는 수탁사와 플랫폼 사업자에 대한 점검 근거를 법률에 신설하고 분야별 PbD 가이드를 개발한다. IoT 기기와 에이전틱 AI 등 신기술 분야의 침해 우려도 선제 점검 대상에 올렸다.

팬덤 플랫폼이 점검 대상에 포함된 것과 관련해 고낙준 예방조정심의관은 "팬덤 플랫폼이 점검 대상에 포함된 것은 청소년 이용자 비중이 높다는 점이 고려됐다. 아직 어떤 플랫폼을 점검할지 내부적으로 검토 중이다"라고 말했다.

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지

디지털데일리 네이버 메인추가

당신이 좋아할 만한 뉴스

DD 마이크로 사이트

오피니언