정부로부터 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 받고도 정보유출 사고가 벌어지는 기업들이 속출하자 개인정보보호위원회(개인정보위)가 제도 개선 필요성을 언급했다.

송경희 개인정보위원장은 3일 “ISMS-P 제도가 전반적인 정보보호 수준을 끌어올린 효과는 부정하기 어렵지만, 부족한 점이 많이 있다”고 밝혔다.

송 위원장은 이날 국회 정무위원회 현안 질의에 출석한 자리에서 ‘ISMS-P 인증 기업 263곳 중 27개 기업에서 33건의 개인정보 유출 사고가 발생했다’는 김용만 더불어민주당 의원의 지적에 이같이 답했다.

ISMS-P 는 과학기술정보통신부와 개인정보위가 공동 운영하는 국내 유일의 정보보호·개인정보보호 관리제도지만 쿠팡 등 여러 인증기업에서 유출사고가 발생, 실효성 논란이 일고 있다.

송 위원장은 현행 인증 방식에 대해 “지금은 서면심사와 샘플링 조사 위주로 인증을 부여하고 있다”며 “예비심사제도 도입과 현장심사 확대 등을 검토하고 있다”고 답했다.

이어 “인증 후에는 매년 모의해킹 등을 통해 실제로 인증 기준에 맞게 운영되는지를 점검하고, 심각하게 기준을 지키지 못하는 기업·기관은 인증을 취소할 계획”이라고 덧붙였다.

송 위원장은 “과기정통부와 함께 제도개선 태스크포스(TF)를 구성해 개선안을 검토 중”이라며 “인증을 받았음에도 사고가 발생한 24개 기업에 대해 12월 중 현장조사를 실시할 계획”이라고 설명했다.

한편 이날 현안 질의에서는 쿠팡에 대한 ‘징벌적 손해배상’ 가능성을 타진하는 질의도 이어졌다.

김승원 더불어민주당 의원은 송 위원장에게 “쿠팡의 연 매출이 41조원이니 (매출액의 최대 3%인) 과징금은 1조2000억원까지 부과가 가능하다”며 “현행법에서도 그 5배인 6조원까지 징벌적 손해배상을 청구할 수 있지 않은가”라고 물었다.

이에 송 위원장은 “관련 규정이 있다”고 했다.

현행 개인정보보호법은 고의 또는 중대한 과실로 개인정보가 유출돼 피해가 발생하면 법원이 손해액의 최대 5배까지 배상할 수 있도록 규정한다.

그러나 징벌적 손해배상제도는 2015년 도입 후 한 차례도 적용되지 않았다. ‘개인정보처리자가 고의 또는 중과실이 없음을 증명한 경우 적용하지 않는다’는 단서 조항 때문이다.

이재걸 기자 claritas@naeil.com