지난해 통신사 해킹 이후 플랫폼 등 다양한 기업으로 해킹사태가 확대되면서, 과학기술정보통신부, 개인정보보호위원회 등 정보보호 규제 당국은 과징금 상한 확대 등 제재 강화를 본격화했다.
보안 투자 미흡과 관리 소홀이 초래한 사회적 혼선에 대해 기업의 책임은 무겁다. 하지만, 정보보호 규제 흐름이 징계와 징벌 위주로만 쏠리면서 기존 법체계의 예방 중심 보호체계 정립 노력이 약화되고 있다는 지적도 제기된다.
자칫 과도한 경제 제재와 모호한 처벌 기준은 기업의 보안 투자를 위축시키고 오히려 침해사고의 은폐를 조장하는 부작용을 유발할 수 있다는 우려도 적지 않다. 과도한 징벌을 넘어 예방·보호 위주 정책으로 정보보호 규제 패러다임을 보완·변화시킬 방안을 3회에 걸쳐 모색해본다.
〈상〉정보보호, 징벌 넘어 진흥도 봐야
지난해 통신사 해킹 사고 이후 개정된 정보통신망법은 정보통신서비스 제공자의 고의 또는 중과실로 침해사고가 5년 이내에 2회 이상 반복적으로 발생한 경우, 매출액의 3%를 초과하지 않는 범위에서 과징금을 부과할 수 있도록 한다. 개인정보보호법 개정안은 고의·중과실로 3년 내 위반행위를 반복한 기업에게 매출액의 10% 이하를 과징금으로 부과할 수 있도록 규정했다.
정보보호 규제는 지난 1년간 제재 위주로 완전히 방향을 선회했다고 해도 과언이 아니다. 정부는 기업의 과실, 관리 소홀에 대해 조사·제재하고 관리하는 동시에 인증제도, 정보통신망 법 등 규정을 통해 보호 가이드라인을 제시해왔다. 하지만, 최근 정보보호 투자 장려, 진흥책 강화 등 '인센티브'와 관련한 논의는 부족하다.
정보보호에 소홀한 기업이 사회적 지탄을 받고 경제 제재를 받아야 하는 것은 당연하다. 문제는 실효성도 고려돼야 한다는 점이다.
한 전직 고위공무원은 “현직시절 각종 보안사고들을 보면 해커가 대상을 특정해 공격의 목적을 가지고 수단과 방법을 가리지 않고 쳐들어오면 막을 방법이 없는 게 사실”이라고 경험을 토로했다. 실제 정부도 최근 클로드 미토스의 AI 보안 위협이 수면위로 드러난 이후 대응에 고심하고 있지만, 뾰족한 방안을 찾지 못하고 있기도 하다.
천문학적 과징금과 주가 하락, 신뢰도 저하 등 후폭풍은 기업들로 하여금 '은폐'를 선택하게 만든다는 점도 고려해야 한다는 목소리가 나온다. 비트디펜더에 따르면 전세계 IT·보안 전문가의 58%가 유출 사고를 비밀로 유지하라는 지시를 받은 것으로 나타났다. 국내 기업 역시 사이버 침해사고 미신고율은 70%에 달한다.
전문가들은 단순 결과 책임만 강조하는 방식에는 한계가 있다고 지적한다. 명백한 잘못은 단호히 징계하되, 결과론적 징벌 방식에서 벗어나 기업이 사전에 기울인 보안 투자와 피해 경감 노력을 종합적으로 평가하는 방향으로 제도 개선이 필요하다는 것이다.
이해원 강원대 법학전문대학원 교수는 “사이버 공격이 조직화·지능화된 만큼, 사고 발생 하나로 기업 책임을 평가하기 보다는 예방 조치, 보안 투자 수준, 사고 이후 대응의 적정성을 종합적으로 고려해야 한다”면서 “침해사고 대응에서 중요한 것은 기업과 정부가 협력하는 구조를 만드는 것이며, 과도한 징벌적 제재가 아닌 사전 예방과 대응 체계를 고도화하는 균형 잡힌 제도 설계가 필요하다”고 말했다.
박준호 기자 junho@etnews.com
