전체메뉴 검색창 열기 / 닫기
닫기

[ET단상]정보보안 관련 법 규제, 대부분 폐지하자

발행일2017.07.11 15:00
Photo Image

보안 사고가 나면 정부는 회초리를 든다. 옥션부터 신용카드 3사의 정보 유출 사고까지 정보 보안 침해 사고는 반복되고, 정부는 재발 방지를 위한 각종 대책을 내놓는다. 대부분은 규제 강화로 이어졌다. 과연 사고는 법으로 막을 수 있을까.

의도된 정보 보안 침해 사고는 대부분 범행 동기로 말미암아 발생한다. 즉 행위자의 범법 욕망이 원인이다. 해커는 돈이 되는 개인 정보, 영업 비밀 정보를 입수하기 위해 전산망을 뚫는다. 내부 유출자는 돈이 되는 개인 정보나 영업 비밀 정보를 팔기 위해 정보를 빼돌린다. 이들이 법을 몰라서 죄악을 저지른다고 보기에는 어렵다.

그렇게 강화된 정보 보안 규제는 이에 맞춰진 관치형 보안 기술에 혜택을 준다. 정부가 법으로 강화한 정보 보안 규제는 정보 보안 침해 사고를 막는데 충분한 조치가 아니다. 해킹 기술은 날로 발전하고 해커는 더욱 빨리 침투한다. 역사상 어느 정부도 법으로 외적의 침입을 막아내지 못했다.

정부의 잘못된 처방이 낳은 관·산 복합 정보 보안 산업은 극도로 불편한 전자상거래 서비스와 전자정부 사이트로 귀결됐다. 그렇다고 해서 정부가 정보 보안을 책임지지도 않는다. 대통령이 액티브엑스를 걷으라고 했지만 대안은 준비되지 않았다. 불편한 전자상거래는 진행형이다.정부가 보안을 법으로 관리하니 보안 산업은 혜택을 보는 것처럼 보인다. 당장은 수익원이 생겨서 보안업체가 좋지만 발전의 한계는 정부가 정한 수준까지다. 사실상 소수 기업만 특혜를 받는 레드오션이 된다. 다양한 기술 발전은 동력을 잃고 멈춘다. 다양한 보안 기술이 경제 원리에 따라 각축을 벌이는 것이 진정한 산업 발전과 나라 보안 수준의 향상을 위해 필요하다. 그래야 정보 보안 수요자인 기업이 다양한 보안 기술 발전의 혜택을 누리고 보안 수준이 올라간다.

최근 전자금융 거래에 공인인증서 의무 사용이 폐지됐다. 인증 관련 기술을 개발한 업체들이 다양하게 등장하기 시작했다. 규제가 정보 보안의 발전을 가로막는다는 명제는 입증된 것이라고 생각한다.

보안 규제 폐지가 보안의 후퇴를 가져온다는 의견도 있다. 아니다. 정부 주도 보안에서 기업 주도 보안으로, 관치 보안에서 자율 보안으로 문화가 변화되는 것이다. 기업이 고객의 정보를 지키기 위한 노력을 게을리 하면 손해 배상을 통해 책임을 진다. 그동안 각종 정보 유출 사고 때마다 정부가 나서서 먼저 '때리니' 정작 민사 소송에서는 손해 배상을 청구한 피해자인 원고가 패소하는 일이 반복됐다.

정부의 정보 보안 세부 규제는 국가 배상 소송을 불러와 세금으로 물어 주는 사태를 초래한다. 정부가 온라인 '인증' 등 정보 보안 표준을 법으로 정해 사업을 시행한다는 것은 국가 배상을 자초하는 일이다. 법률로 정한 정보 보안 표준은 반드시 실패하기 때문에 국가가 불완전한 정보 보안 표준을 정한 책임을 져야 한다. 전자금융감독규정, 개인정보보호법, 정보통신망법, 신용정보보호법이 모두 특정한 보안 조치를 법으로 강제하는 어리석음을 범하고 있다.

그럼 정보 보호 관련 법 규제는 어떻게 해야 할까. 각종 법령에서 '기업은 고객을 보호하기 위해 필요한 정보 보안 조치를 적절하게 취해야 한다'라고 규정하면 된다. 어떤 조치가 적절한지 고민은 기업에 맡기자. 그렇다고 기업이 정보 보안을 포기할 것으로 보는가. 그런 기업이 있다면 손해 배상 집단 소송을 내자. 법원은 천문학 규모의 손해 배상액을 선고, 기업을 망하게 할 것이다. 그래도 정보 보안을 소홀히 할 기업이 있겠는가.

구태언 테크앤로 대표 변호사 taeeon.koo@teknlaw.com

댓글 보기


주요뉴스