송경희 개인정보보호위원장은 17일 쿠팡 개인정보 유출 사고와 관련해 "내부자 통제가 제대로 이뤄지지 않았다면 심각한ISMS-P(정보보호 및 개인정보보호 관리체계) 위반"이라고 지적했다.

송 위원장은 이날 국회 과학기술정보방송통신위원회의 쿠팡 청문회에서 박충권 국민의힘 의원의 질의에 "ISMS(정보보호) 보안 부분에 내부자의 접근 권한 관리 (기준이 다 마련돼) 있고 P(개인정보보호) 쪽에도 관련 사항이 있는데 이걸 제대로 안 지킨 것"이라며 이같이 말했다.

그러면서 "(ISMS-P를) 운용하는 과정에서 점검했을 때 직접 위반은 드러나지 않았지만 거기에 대한 결함 사실은 발견돼 시정 조치를 요구해 놓은 상태"라고 했다.

박 의원이 "위반 사항이라면 인증 취소를 포함한 강력한 제재 조치가 필요하다"고 지적하자 송 위원장은 "그것도 검토하고 있다"고 답했다.

ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동으로 운영하는 국내 유일의 정보보호·개인정보보호 관리체계 인증 제도다.

송 위원장은 이날 국회 정무위원회를 통과한 개인정보보호법 개정안의 징벌적 과징금 규정과 관련해 "이번 개정으로는 적용 시기를 소급하는 것은 고려하고 있지 않다"고 밝혔다.

또 이훈기 더불어민주당 의원이 '개정안으로 소급 적용이 어렵다면 정부 입법으로 쿠팡특별법을 마련해서 소급 적용할 수 있게 해야 한다'는 취지로 주장하자 송 위원장은 "특별법에 대해서는 별도의 검토가 필요하다"고 답했다.

이날 정무위를 통과한 개인정보보호법 개정안은 중대한 개인정보 유출 사고를 일으킨 기업에 대해 전체 매출액의 최대 10%를 과징금으로 부과할 수 있도록 하고, 사업주 또는 대표자의 개인정보 보호 책임을 명시했다.

송 위원장은 과징금 산정 기준과 관련해서는 "현재 조사 대상은 한국에 있는 쿠팡 주식회사"라며 "매출액 역시 한국 쿠팡 주식회사 기준으로 명확하게 정리돼야 한다"고 설명했다. 또 "엄격한 법 적용이 필요하다고 생각한다"고 했다.

angela0204@news1.kr