매출액 대비 최대 10%의 과징금을 부과하는 개인정보보호법 개정안이 지난주 국회를 통과, 오는 8월부터 시행된다. 종전 3%였던 상한을 대폭 상향한 이번 조치는 개인정보 유출 등 침해사고에 대한 엄정한 책임 규율을 선언했다는 점에서 의미가 크다.
일각에서는 기업에 과도한 부담을 지운다는 우려도 나온다. 그러나 지난해 국내 주요 통신사와 이커머스 대기업에서 연쇄적으로 발생한 대규모 개인정보 유출 사고는 우리 사회에 충격을 안겼다. 보안 투자 여력이 충분한 대기업조차 속수무책 뚫린 현실은 '사후약방문'식 대응으로는 더 이상 감당할 수 없음을 분명히 보여줬다. 이번 개정안은 그런 의미에서 불가피한 선택이다.
국제적 흐름을 보더라도 한국만의 선택이 아니다. 싱가포르는 2022년부터 매출의 최대 10% 과징금을 가능케 한 개인정보보호법(PDPA)을 시행 중이며, 호주는 매출의 30% 또는 5000만 호주달러(약 512억원) 중 큰 금액을 부과하는 강력한 제재 체계를 이미 도입했다. 개인정보 보호는 규제의 문제가 아니라 국가 경쟁력과 신뢰의 문제로 격상되고 있다.
규제 강화가 보안 투자를 자극한다는 근거도 확인된다. PwC가 세계 4000여명을 대상으로 조사한 결과 응답자의 96%가 지난 12개월 동안 보안 규제에 대응해 투자를 확대했다고 답했다.
이제 기업은 보안을 비용이 아닌 '생존의 필수 조건'으로 인식해야 한다. 디지털 전환이 가속화되는 시대에 고객 신뢰는 기업 가치의 근간이며, 그 신뢰는 철저한 개인정보 보호에서 시작된다. 한 번의 대규모 유출 사고가 수십 년간 쌓아온 기업 평판을 하루아침에 무너뜨릴 수 있음을 명심해야 한다.
정부 역시 단순히 과징금을 부과하는 데 그쳐서는 안 된다. 중소기업의 보안 역량 강화를 위한 지원 프로그램을 확대하고, 보안 전문 인력 양성에 더욱 박차를 가해야 한다. 또 기업이 선제적으로 보안에 투자할 수 있도록 세제 혜택 등 인센티브 체계도 정교하게 설계해야 할 것이다. 감독은 엄정하되, 기업의 자율적 개선을 견인하는 동반자적 정책 설계가 요구된다.
보안은 더 이상 정보기술(IT) 부서만의 과제가 아니다. 최고경영진부터 일선 직원까지 전사 차원의 보안 의식 혁신이 필요하다. 개정안을 계기로 우리 기업이 보안 거버넌스를 근본적으로 재점검하고, 지속 가능한 보안 체계를 구축하기를 기대한다.
김지선 기자 river@etnews.com
