이정문, 해킹 기업에 책임 강화 ‘개인정보 보호법’ 개정안 발의

[이데일리 김현아 기자] 더불어민주당 이정문 의원(천안병, 국회 정무위원회)이 1일 개인정보 유출 사고 이후 기업과 기관의 사후 책임을 강화하는 ‘개인정보 보호법’ 일부개정법률안을 대표발의했다고 밝혔다.

이번 개정안은 최근 SK텔레콤의 USIM 정보 유출 사고 등 대규모 개인정보 유출로 인한 국민 피해가 반복되고, 유출된 정보가 다크웹 등 불법 유통망을 통해 2차·3차 피해로 확산되는 현실을 반영해 마련된 것이다.

이정문 의원(더불어민주당)

2년간 불법유통 모니터링 의무화… 고발 조치도 포함

현행 개인정보 보호법은 유출된 개인정보의 불법 유통을 추적하거나 확산을 방지하기 위한 사후 조치 의무가 부재해, 사고 이후에도 기업이나 공공기관의 책임 있는 대응이 미흡하다는 지적이 이어져 왔다.

이정문 의원이 발의한 이번 개정안에는 △1000명 이상의 정보주체에 대한 개인정보 유출 △민감정보 및 고유식별정보 유출 △또는 외부 불법 접근에 의한 유출이 발생한 경우는 해당 기업 또는 기관은 2년간 유출정보의 불법유통 여부를 모니터링하고, 그 결과를 개인정보보호위원회에 보고해야 한다.

이를 이행하지 않거나, 보고 의무를 위반한 경우에는 최대 3천만 원 이하의 과태료가 부과될 수 있다.

또한, 불법 유통이 확인될 경우 수사기관에 고발할 의무를 부여하며, 개인정보 피해를 입은 정보주체가 불법 유통이 의심될 경우 개인정보보호위원회 등 전문기관에 직접 신고할 수 있는 법적 근거도 신설된다.

“사후 관리까지 책임지는 구조 만들어야”

이 의원은 “개인정보 유출 사고는 단순 유출에 그치지 않고, 피싱·사기 등 2차·3차 피해로 쉽게 확대된다”며 “기업과 기관이 유출 이후에도 사후 모니터링과 대응 책임을 지도록 법적으로 강제하는 것이 이번 개정안의 핵심”이라고 설명했다.

이어 “개인정보를 수집하는 주체는 수집과 보호에 그치지 않고, 사고 발생 시 유출 확산을 막는 데에도 책임을 져야 한다”며 “이번 법 개정이 SK텔레콤 사례와 같은 초기 대응 실패, 무책임 대응을 방지하고 국민 피해를 최소화하는 데 기여할 것”이라고 강조했다.