[정치닷컴=이미영]
국회 과학기술정보방송통신위원회 국민의힘 최형두 의원이 최근 쿠팡에서 발생한 대규모 개인정보 유출 사건을 계기로, 개인정보 보호·클라우드 보안·해킹 대응 체계를 근본부터 재설계하는 「정보보안 패키지 법안」 4건을 대표발의했다고 2026년 2월 2일 밝혔다.
[사진=최형두 의원]
최 의원은 “쿠팡의 개인정보 유출은 단순한 기업 내부 사고를 넘어 국내 디지털 보안 체계 전반의 구조적 취약성을 드러낸 중대한 경고”라고 진단하며, “클라우드 서버 운영과 외부 협력사, 국외 원격접속 환경이 결합된 현 플랫폼 구조에서는 보안 책임이 사실상 분산·소멸되는 현실이 이번 사태를 통해 명확히 확인됐다”고 강조했다.
특히, 클라우드 설정 오류, 과도한 외주 인력 접근 권한, 내부통제 부실이 결합되면 개인정보가 무방비 상태에 놓인다는 점을 여실히 보여줬다는 설명이다. 현행 법체계는 민간 대형 클라우드 이용 기업과 제공자에게 실질적인 보안 의무와 책임을 명확히 부과하지 못하며, 국외 원격접속에 따른 개인정보 접근 역시 제도적 사각지대에 있어 비판이 이어져왔다.
또한 최 의원은 “쿠팡과 같은 글로벌 클라우드 연계 플랫폼 기업은 개인정보 처리·관리의 상당 부분을 국외 인프라에 의존하지만, 사고 발생 시 책임 소재를 국내 제도로는 명확히 규명하기 어렵다”며 “실제 피해는 국내 이용자가 부담하고, 책임은 해외 법인과 복잡한 계약 뒤에 숨는 구조가 반복돼 국민안보와 안전에 큰 공백이 발생하고 있다”고 경고했다.
이에 대표발의한 4법은 사후 처벌이 아닌 사전 예방 중심의 국가 사이버·개인정보 보호 체계 정비를 목표로 마련됐다.
4법 주요 내용은 다음과 같다.
정보통신망법 개정안(보안취약점 신고·면책 제도)
기업의 보안취약점 처리방침(CVD) 수립·공개 유도화이트해커·보안연구자에 대한 민·형사 면책 근거 명확화중대한 취약점 발생 시 정부 신고 및 이용자 통지 의무화
정보통신망법 개정안(내부자·공급망·클라우드 보안 강화)
원격접속자 및 수탁업체 계정 관리, 내부자 이상행위 탐지, 공급망·클라우드 보안 조치 법률 명시정보보호 감사 자료 보관·제출 의무화로 사고 원인 분석과 재발 방지 강화클라우드법 개정과 연계해 플랫폼 및 대기업 보안 책임성 명확화
클라우드컴퓨팅법 개정안
민간 대형 클라우드 기업에도 보안인증(CSAP) 의무화계정별 접근 통제, 공급망 보안 기준을 법률로 명확히 규정클라우드 정보보호 최고책임자(CISO) 지정, 정기 보안 감사 및 자료 보관 의무화민간 클라우드 보안 수준을 공공 수준으로 상향 조정
개인정보 보호법 개정안
국외 원격접속을 통한 개인정보 접근도 ‘국외 이전’으로 명확히 규정개인정보 국외 이전 시 개인정보보호위원회 심의·의결 의무 강화접근 권한 관리 및 접속 기록 보관 등 안전성 확보 조치를 법률로 강화
최 의원은 “쿠팡 사태는 시작에 불과하다”며 “지금 조치를 취하지 않으면 유사한 유형의 개인정보 대형 사고가 다른 플랫폼과 산업으로 확산될 것”이라 경고했다. 또한 “이번 법안은 특정 기업을 겨냥한 것이 아니라, 쿠팡 사태로 드러난 구조적 문제를 방치하지 않기 위한 최소한의 안전장치”라면서 “국민의 개인정보와 디지털 신뢰를 지키는 분명한 법적 기준을 세우겠다”고 밝혔다.
이번 법안은 국민의 디지털 안전과 개인정보 보호를 위한 실질적 변화로 평가받고 있으며, 국가 사이버 안보 위기를 극복하는 중요한 제도적 전환점이 될 전망이다
