"IT예산 15% 보안에 써야"…개인정보위, 정보보호 투자 의무화 추진 작성일 05-21 90 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">21일 '개인정보 안전관리 대책' 추진안 공개<br>공공·민간 전 분야 대상 보안인력·예산 기준 제시<br>CPO 등 의견수렴 통해 다음달 확정안 마련</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="4PoeT5RusV"> <p contents-hash="24bff37c8a2dad1cc67cb31addb055215e7be7e72f1da46a37d94d8f93621683" dmcf-pid="8Qgdy1e7D2" dmcf-ptype="general"> [이데일리 최연두 기자] 개인정보보호위원회가 SK텔레콤 해킹 사건을 계기로, 전 산업군 조직에 적용할 종합적인 안전관리 대책을 마련한다. 기업·기관의 정보보호 투자 비중을 전체 정보기술(IT) 예산의 15%까지 확대하도록 유도하는 등 구체적인 과제를 마련해 중점 추진할 방침이다.</p> <figure class="figure_frm origin_fig" contents-hash="3178db554af1c90ec4c2da5bddd52d9546cdc03a375180427ba4d207c33fbb15" dmcf-pid="6xaJWtdzw9" dmcf-ptype="figure"> <p class="link_figure"><img alt="유심정보 유출 사태를 수습 중인 SK텔레콤이 도서 벽지에 거주하는 고객을 직접 찾아가 유심을 교체하거나 재설정해주는 서비스를 시작했다. 사진은 지난 14일 서울 시내 한 SK텔레콤 매장에 붙은 유심정보 유출 사태 관련 안내문(사진=연합뉴스)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202505/21/Edaily/20250521160015768rjxl.jpg" data-org-width="670" dmcf-mid="VxToXpLKr4" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202505/21/Edaily/20250521160015768rjxl.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 유심정보 유출 사태를 수습 중인 SK텔레콤이 도서 벽지에 거주하는 고객을 직접 찾아가 유심을 교체하거나 재설정해주는 서비스를 시작했다. 사진은 지난 14일 서울 시내 한 SK텔레콤 매장에 붙은 유심정보 유출 사태 관련 안내문(사진=연합뉴스) </figcaption> </figure> <p contents-hash="edd5b0193bac73fa03885be19f6494afede295b4ab334b8ff6a036302490fc56" dmcf-pid="PMNiYFJqEK" dmcf-ptype="general">개인정보위는 21일 서울 중구 은행회관에서 한국CPO(개인정보보호책임자)협의회와 공동 주최한 ‘개인정보 정책포럼’을 통해 이 같은 정책 방향을 공식화했다.</p> <p contents-hash="af199337886ae62adc7767be9d29dda2f7aa22b91e3cac087664a6102b883e6c" dmcf-pid="QRjnG3iBOb" dmcf-ptype="general">개인정보위는 유출 사고 발생 시 일시적으로 대응하는 사후 조치 위주의 체계로는 반복되는 유출 사고를 막기 어렵다고 진단했다. 대규모 개인정보 처리자를 중심으로 △즉각적·기술적 조치사항 △상시적·전사적 내부통제 강화 △정보 주체의 권리구제 실질화 등 크게 세 가지 정책 방향을 수립하고 이를 적용하기 위한 과제를 공개했다.</p> <p contents-hash="356621cdcf1f05c1db565a4f72bf472da00e4b589ef7fd342ccfccf37e43073d" dmcf-pid="xeALH0nbmB" dmcf-ptype="general">이번 정책 방향 및 과제(초안)는 CPO협의회 등의 의견 수렴 과정을 거쳐 다음 달 최종 확정될 예정이다.<strong><br><br>정보보호 투자 규모, IT 예산의 15%로 확대 추진</strong></p> <p contents-hash="add16b41a5f7c78c5224a2a927ebed826b424282c84b9093ac4e749a3cacf2bc" dmcf-pid="yGU1dN5rwq" dmcf-ptype="general">이번 추진 과제에는 공공·민간 등 전 분야를 대상으로 개인정보보호 인력과 예산 기준을 구체화하는 내용이 담겼다.</p> <p contents-hash="21b86c0c14e65e8ef1bb32d404e007a42c827e288d6caed6399addf12f8ef66c" dmcf-pid="WGU1dN5rsz" dmcf-ptype="general">개인정보위가 제시한 인력 기준(가안)에 따르면, 기업·기관 등 조직은 최소 1명 이상의 전담 직원(CPO 제외)을 개인정보 보호 업무에 배치해야 한다. 전체 정보기술(IT) 인력의 최소 10%는 개인정보 보호 업무를 병행 또는 전담하도록 권고된다.</p> <p contents-hash="cc87ba6a8b2373ecb7d9c447a3fe2b9524c9029fafe8cc9a8710fe747b8ee00e" dmcf-pid="YHutJj1mO7" dmcf-ptype="general">이와 함께 개인정보위는 오는 2027년까지 전체 IT 예산의 최소 10%, 2030년까지는 15%를 개인정보 보호 관련 예산으로 확보하도록 의무화할 방침이다. 해당 예산에는 이상행위 탐지 시스템 구축, 취약점 점검, 모의해킹 등 정보보호를 위한 핵심 보안 활동에 필요한 투자 항목이 포함된다.</p> <p contents-hash="ab75c8f6f463a6b4c87de25f7663123b1dfb72223792913efd8b720cf570b06e" dmcf-pid="GX7FiAtsDu" dmcf-ptype="general">이는 국내 기업의 정보보호 투자 비중이 여전히 낮다는 현실을 반영한 것이다. 보안 연구기관인 IANS리서치·아티코가 지난 2023년 발표한 보고서에 따르면 미국 기업의 정보보호 투자 비중은 IT 예산 대비 평균 10.5%를 기록했다. 이에 비해 국내는 지난 2021년~2023년 6.1% 수준에 그치고 있다.</p> <figure class="figure_frm origin_fig" contents-hash="8bef4ec7166faeec976ec2bb51f3017857c885172d286ee2a37298cd5525cc99" dmcf-pid="HZz3ncFOwU" dmcf-ptype="figure"> <p class="link_figure"><img alt="서울 종로구 정부서울청사에 마련된 개인정보보호위원회 현판(사진=개인정보위)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202505/21/Edaily/20250521160017189tlsw.jpg" data-org-width="640" dmcf-mid="fmmc3BA8Ef" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202505/21/Edaily/20250521160017189tlsw.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 서울 종로구 정부서울청사에 마련된 개인정보보호위원회 현판(사진=개인정보위) </figcaption> </figure> <p contents-hash="9935864c2c6ae878795119effd66a5f41a0f7038ef3bf116ddf8df463557ae93" dmcf-pid="X5q0Lk3IDp" dmcf-ptype="general"><strong>CPO 책임·권한 강화 의무화</strong></p> <p contents-hash="11b8e64378ca37f771f8fa4bc5830040500ea9c2ecc6e1b018f6061f81663684" dmcf-pid="Z1BpoE0CE0" dmcf-ptype="general">조직 내 CPO 역할도 강화될 전망이다. 이를 위해 개인정보위는 CPO에 △예산 편성 △이사회 보고 △전사 부서와 협업 가능 등 권한을 부여하는 방안을 준비 중이다. CPO가 단순 법적 책임자에서 조직 전략 차원의 보안 리더로 기능하도록 제도 기반을 정비할 예정이다.</p> <p contents-hash="d007c749220469941454294d6a3c98c902ca9e8dbb54f3d99597577b8d7f7e67" dmcf-pid="5tbUgDphm3" dmcf-ptype="general">현재 개인정보위는 CPO 지정 의무 대상을 ‘연 매출액 1500억원 이상’이면서 ‘100만명 이상 개인정보를 보유’(또는 5만명 이상 민감·고유식별 정보 보유)한 개인정보 처리자로 조정하는 작업에 착수했다.</p> <p contents-hash="a07bff5e40b0449eccaf69ade386c1e118f52da3e6d1fa86977b3381bca7da17" dmcf-pid="1FKuawUlsF" dmcf-ptype="general">향후 개인정보위는 모범 CPO 인증제도, 자율규제단체 연계, 자율점검 도구 제공 등 인센티브 제도들도 함께 추진할 계획이다. 현장의 실행력을 높이기 위해 내부 통제 가이드라인, 직원 교육, 정책 컨설팅 등의 지원 방안도 마련 중이다.</p> <p contents-hash="ed46101a6fd917f0804cd041c9fb76422473ba6a5e19ab85e64aba26669c64c1" dmcf-pid="t397NruSst" dmcf-ptype="general">개인정보위 관계자는 “국민의 개인정보 보호 체계를 더욱 공고히 하고, 개인정보와 관련해 대두되는 정책 현안에 기민하게 대응하는 개인정보 컨트롤타워로 자리매김할 수 있도록 협의회와 함께 적극 노력해 나가겠다”고 말했다.</p> <p contents-hash="8b96d9c52542c95a7e94caa908895af03afcbec071cf01dd3e0b3c783a15dfd8" dmcf-pid="F02zjm7vr1" dmcf-ptype="general">최연두 (yondu@edaily.co.kr) </p> </section> </div> <p class="" data-translation="true">Copyright © 이데일리. 무단전재 및 재배포 금지.</p> 관련자료 이전 "정부 거버넌스 실패 원인은 '문제 정의 부재' 탓" 05-21 다음 고학수 개보위원장 "SKT 개인정보 유출사고, 위법 사항 강력 제재" 05-21 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
