국회는 16일 본회의를 열어 개인 신용정보 강화를 위해 신용정보기관 등에 대한 공적통제를 강화하고 위반 시 징벌적 과징금과 손해배상 책임을 물리는 것을 골자로 하는 '신용정보의 이용·보호에 관한 법률‘ 개정안을 가결했다. 개정안은 신용정보회사 등의 고의 또는 중대 과실로 개인 신용정보가 유출돼 피해를 봤을 경우 피해자가 피해액의 최대 3배까지 배상받을 수 있도록 징벌적 손해배상제를 도입했다. 징벌적 손해배상은 가해자의 불법 행위로 피해자가 입은 재산상의 손해액보다 더 큰 배상을 부과하는 제도로, 형벌적 성격을 띤다. 개인비밀을 업무목적 외에 누설·이용하거나 불법 누설된 개인비밀임을 알고도 타인에게 제공하거나 이용하면 매출액의 3% 이하의 과징금을, 신용정보전산시스템 보안대책 미수립으로 개인비밀을 분실·도난·누출·변조 또는 훼손당한 경우 50억원 이하의 과징금을 부과할 수 있도록 했다.

업무정지명령을 위반하거나 업무정지에 해당하는 행위를 한 신용정보회사가 과거 3년 이내에 업무정지처분을 받은 사실이 있으면 인·허가를 취소할 수 있도록 했다. 이와 함께 신용조회업의 부수업무 제한, 신용조회회사의 영리목적 겸업 및 계열회사에 대한 정보제공 금지, 신용정보 보존기한 제한(상거래 종료후 5년 이내), 개인신용정보의 제공·활용에 대한 동의절차 강화, 손해배상책임 보장을 위한 보험가입 또는 적립금 예치, 정보유출 행위자에 대한 형벌 상향(10년 이하의 징역 또는 1억원 이하의 벌금) 등도 담았다.

관련 기사 -->  술술 새는 개인정보..보안인력 운용 기업은 3% 미만

악성코드와 해킹으로 인한 개인정보 유출이 한국뿐만 아니라 전 세계적 이슈로 부각되고 있는 가운데 정보보호 전담 인력을 운용하는 국내 기업이 전체의 2.8%에 불과한 것으로 나타났다. 한국인터넷진흥원(KISA)은 지난해 국내 7089개 기업(종사사 1인 이상, 네트워크 연결 컴퓨터 보유 사업체)을 대상으로 정보보호 실태조사를 벌인 결과를 17일 발표했다. KISA에 따르면 공식 문서로 정보보호 정책(개인정보보호 정책 포함)을 수립하고 있는 기업은 전체의 11.3%에 불과한 것으로 나타났다. 금융 및 보험업(74.5%), 정보서비스업(26.0%)이 상대적으로 높았다. 직접 정보보호 관련 예산을 편성한 기업은 10.5% 수준이었다. 종사자 수 5인 이상 기업의 정보보호 예산 편성 비율은 20.9%였으며, IT 예산 중 정보보호 예산을 5% 이상 편성한 기업은 2.7%에 그쳤다. 정보보호 교육을 실시한 업체도 13.2%에 머물렀다.

연 1회 이상 정기적으로 보안점검을 수행하는 기업은 11.2% 였고, 비정기적으로 보안 점검을 실시하는 기업도 11.9%에 불과했다. 시스템 로그 등 중요 데이터 복원을 위해 필수적인 백업을 주기적으로 실시하는 기업은 45.0% 수준이었다. 숙박 및 음식업의 경우 17%만이 백업을 실시했다. 반면 소비자의 개인정보를 수집하는 업체들은 상대적으로 많았다. 금융 및 보험업의 경우 48.2%, 정보서비스업의 경우 37.7%가 사용자의 개인정보를 수집하는 것으로 드러났다. 반면 개인정보를 암호화하는 기업은 21.5%에 불과했다. 이처럼 취약한 보안시스템에도 불구하고 보안 분야에 투자하는 기업은 극히 드물다. 개별 기업이 확보하는 고객 개인정보 데이터베이스가 증가하고 해킹과 악성코드 역시 고도화되고 있지만 상당수 업체는 보안시스템을 '비용'으로 인식하고 있기 때문이다. KISA에 따르면 신규서비스 보안에 투자한 기업은 전체의 3.7%였고, 향후 투자 계획을 갖고 있는 기업도 7.1%에 불과했다. 포털업계의 한 관계자는 "상당수 기업들의 개인정보가 이미 유출됐음에도 불구하고 이를 알아채지 못하거나 알고도 신고하지 않은 경우가 더 많다"며 "진행원 조사 결과보다 보안시스템 현황이 더 열악하다"고 지적했다.