개인정보 유출 제재 수위 강화로 과징금 징수액이 급증하면서 명확한 재원 활용 방안을 모색하려는 논의가 본격화됐다. 지금까지는 전액 국고로 귀속됐다면 앞으로는 보안 투자와 피해구제에 사용해야 한다는 의견이다. 해외 주요국도 단순히 기업의 책임을 묻는 것을 넘어 실질적 보안 생태계 강화로 이어지는데 규제 정책 초점을 맞췄다.
개인정보보호위원회에 따르면 지난해 개인정보보호법 위반으로 부과된 과징금은 총 1678억원이다. 2020년 67억원과 비교하면 5년새 25배가량 폭증했다. 인공지능(AI) 기반 사이버 공격이 고도화되고 징벌적 과징금도 시행되는 만큼 규모는 더욱 커질 전망이다.
그럼에도 현행법상 징수된 재원은 국가 일반회계로 귀속된다. 막대한 자금이 걷히더라도 정작 피해자 구제나 보안 인프라를 확충하는데 직접 환류되지 않는다. 이는 기업이 과징금을 납부하면서 피해 보상과 보안시스템 확충까지 감당해야 하는 이중부담으로 이어진다.
위반행위에 대한 과징금 부과는 법규 준수와 억지력을 확보한다는 점에서 필수적이지만 기업의 한정된 자원이 제재금 납부에만 매몰되면, 정작 보안 역량을 강화할 여력이 줄어들 수 있다는 우려도 나온다. 과징금 리스크가 커질수록 사전 예방을 위한 투자보다 규제 대응과 소송 방어 등에 더 많은 자원을 투입하는 부작용이 커진다.
해외 규제 당국의 경우 금전적 제재를 실제 보안 인프라 확충과 피해 지원금으로 전환하는 방향으로 정책 구조를 설계했다.
미국 연방통신위원회(FCC)는 티모바일 개인정보 유출사고 당시 부과한 3150만달러 중 절반은 제재금으로 징수하고 나머지 절반은 제로트러스트 체계 도입과 다중인증 등 정보보호 투자 의무로 구성했다.
신용평가사 에퀴팩스 역시 1억4700만명의 개인정보 유출로 7억달러 규모의 합의금을 지불했는데, 연방거래위원회(FTC)는 해당 재원의 상당 부분을 피해자 보상과 신용 모니터링 지원 등에 배정하도록 했다.
국내에서도 과징금이 정보보호 투자, 피해자 구제와 직접 연계되도록 법적 근거를 마련하려는 움직임이 본격화됐다. 실질적 피해 회복을 지원할 수 있는 기금을 신설하거나 관련법에 과징금 용도를 한정하는 규정을 신설하는 방안 등의 논의된다.
다만 기금의 경우 일정 수준의 재원 규모를 유지하기 위해 역설적으로 과징금 징수에 매몰되는 구조적 모순이 발생할 수 있다는 우려도 나온다. 이에 개인정보보호법에 별도의 과징금 활용 조항을 신설해 징수된 재원 범위 내에서 피해자 손해지원금, 소송 지원금, 개인정보보호 교육·연구지원 사업 등에 한정해 사용하는 방안이 대안으로 거론된다.
법조계 관계자는 “과징금은 법 위반 사고가 발생할 경우에만 얻을 수 있는 재원이라는 점에서 기금 확보 지속성을 담보하기 어렵고 재정경제부의 협조도 필요하다”면서 “관련법에 과징금 용도를 제한하는 규정을 신설하는 것은 개정 절차가 비교적 수월하고 재원 사용 투명성도 확보할 수 있다”고 말했다.
박준호 기자 junho@etnews.com
