최근 국내 한 기업은 침해사고 자진 신고에 따른 후폭풍을 두고 내부적으로 격론이 일었다. 차라리 해킹 사실을 덮었더라면 당장의 막대한 손실은 피할 수 있지 않았겠느냐는 내부 비판이 쏟아진 것이다. 보안 사고를 투명하게 공개하고 후속조치에 나섰던 결단이 오히려 경영상 실책으로 몰리는 역설적 상황이 연출됐다.
내부 갈등 이면에는 결과만 놓고 기업에 막대한 책임을 묻는 징벌적 규제 시스템이 자리 잡고 있다. 규제 당국은 매출액 최대 10%에 달하는 징벌적 과징금을 예고하며 압박하지만, 정작 그 돈이 어떻게 쓰이는지에 대한 담론은 부족하다.
고객의 소중한 개인정보를 지키지 못한 기업에 부과되는 천문학적 과징금은 전액 국가 일반회계로 귀속된다. 그 돈이 어떻게 쓰이는지는 알 길이 없다. 실질적 피해자인 국민의 권리구제나 보안 인프라 확충으로 직접 환류되지 않는 한계를 지닌다.
경제적 징벌은 국고는 채울지 몰라도 재발을 막는 데는 역부족이다. '미토스' 쇼크 등 특화 인공지능(AI) 모델 등장으로 개발자조차 알지 못하는 제로데이 공격이 현실화된 시대다. 아무리 방패를 강화해도 매번 창을 막을 순 없다.
그때마다 기업을 무너뜨릴 것인가. 그럴수록 사고를 은폐하고 신고를 기피하는 음지화 유혹만 키울 뿐이다. 국제 해커집단에게는 더 좋은 먹잇감이 된다. 보안을 소홀히 한 기업에 책임을 묻는 건 타당하지만 정책 방향이 제재 강화에만 치우쳐서는 안 된다.
거둬들인 재원으로 별도의 보안 기금을 조성해 피해 구제와 선진 보안 기술 개발에 활용하는 기금화 논의가 시급하다. 선제적 보안 투자와 보호 체계를 성실히 따른 기업이라면 그 노력에 비례해 과징금을 적극 감경해주는 인센티브 제도를 정착시켜야 한다.
기업의 자발적 신고와 개선 노력을 이끌고, 그 결실이 피해주체에게 직접 전달되는 방향으로 제도적 패러다임 전환이 절실하다. 규제의 칼날은 기업을 무조건 베어내는 것이 아니라, 스스로 더 튼튼한 방패를 만들도록 독려하는 방향을 향해야 한다.
박준호 기자 junho@etnews.com
