차윤호 한국인터넷진흥원 개인정보조사단장/사진제공=한국인터넷진흥원
7일 KISA(한국인터넷진흥원)의 2022년 개인정보보호위원회 공개 의결서 분석에 따르면 기업의 개인정보 유출사고 시 안전조치 미흡이 66%로 가장 높았다. 유출통지를 늦게 한 경우가 16%로 뒤를 이었고 개인정보 미파기(10%), 개인정보 제공 미동의(9%) 순이었다.
차윤호 KISA 개인정보조사단장은 "개인정보 유출사고 시 기업의 의무위반 판단기준으로 △사고 당시 정보보안 기술 수준 △업종·영업규모와 전체적인 보안조치 내용 △정보보안에 필요한 경제적 비용 및 효용 정도 △해킹 기술 수준과 보안기술 발전 정도에 따른 피해발생 회피 가능성 △수집한 개인정보 내용과 사회통념상 합리적으로 기대 가능한 정도의 보호조치 등"이라고 설명했다.
차 단장은 "데이터베이스와 연동·처리하는 웹서버 등도 보호조치 대상에 포함해야 한다"며 "지속적으로 설계에 반영된 보안기술의 적정성을 검증하고 개선조치를 실시해야 한다"고 말했다.
이어 "이상행위에 대한 탐지와 대응 등 실질적인 활동이 이뤄져야 한다"며 "사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치를 해야 한다. 보안에 비용 투자가 어려운 영세 중소기업의 경우 KISA 홈페이지에서 컨설팅 지원 사업을 신청하면 된다"고 덧붙였다.