국내 이동통신 3사가 정부의 개인정보 보호 규제 강화 기조에 따라 보안 체계를 대폭 강화하고 있다. 정부가 개인정보보호책임자(CPO)의 독립성을 높이고 개인정보 유출 사고에 대한 기업 책임을 강화하는 내용의 개인정보보호법 개정안을 시행하는 것에 대한 대응 차원이다.

4일 정부 및 업계에 따르면 개인정보보호법 개정안이 오는 9월 11일부터 시행된다. 개인정보보호책임자(CPO)의 독립성을 강화하고 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 대상을 확대하는 등 기업의 개인정보 보호 의무를 강화한 것이 핵심이다.

앞으로 이사회 의사결정에 따라 개인 정보와 관련한 최고 책임자를 결정하게 되면서 거버넌스 체계 전반에 대한 점검이 불가피해졌다. 개정법안에 따르면 CPO를 임명 또는 교체, 해임할 때에는 이사회 의결 절차를 거쳐 개인정보보호위원회에 신고해야 한다.

통신사들은 이미 관련 조직 개편에 나선 상태다. KT는 올해 박윤영 대표 체제 전환 이후 최고정보보호책임자(CISO)와 CPO를 각각 분리해 선임했다. SK텔레콤은 지난해 8월 해킹 사고 이후 재발 방지를 위한 후속 조치의 일환으로 CISO 겸직 체계를 개편하며 정보보호 조직의 독립성을 선제적으로 강화했다. LG유플러스는 정보보안센터장이 CISO와 CPO를 겸직하는 체계를 유지하고 있다.

정보보호 인증에 대한 관리도 한층 엄격해질 전망이다. 현재 통신 3사 모두 ISMS-P 인증을 보유하고 있어 정보통신서비스 인프라 운영과 이동전화 고객 관리 서비스에 대한 인증을 유효 기간에 맞춰 한국인터넷진흥원(KISA) 등을 통해 갱신해 왔다.

지난해 잇달아 발생한 해킹 사고로 인해 인증 취득 여부보다 실제 운영 체계와 사고 대응 역량이 중요하다는 지적이 제기됐다. 이에 따라 보안 체계 운영과 사고 대응 역량에 대한 점검이 더 엄격해질 것으로 보인다.

보안 모니터링 강도도 높아질 것으로 관측된다. 기존에는 개인정보가 분실되거나 유출됐을 경우에만 신고 의무가 있었지만 앞으로는 위조·훼손 사고가 발생한 경우에도 72시간 이내 신고해야 한다. 반복적인 법 위반에 대한 과태료 부과 기준도 부담이다. 과거 경고나 과태료 면제 처분을 받았더라도 유사한 위반 행위가 반복되면 더 높은 수준의 과태료가 부과될 수 있다.

통신 3사는 정보 유출 사전에 막기 위한 보안 투자를 확대하고 있다. KT는 보안 분야에 연간 2000억원의 투자를 대대적으로 진행한다. SK텔레콤은 글로벌 인공지능(AI) 기업 앤스로픽과 협력해 AI 기반 사이버 위협 대응 체계를 구축한다. LG유플러스는 정부가 승인한 화이트해커와 협력해 잠재적인 취약점을 사전에 점검해 선제 대응한다.