대형 해킹 사고 후폭풍, ‘기업 책임 강화·조사 권한 확대’ 법 개정 논의 본격화
국회, 통지 의무·과징금·조사 권한 대폭 강화 법안 다수 발의
“사고 은폐·늑장 대응 차단해야” 의원들, 법 개정 한목소리
전문가들 “책임 강화만으론 한계, 지원·보안 생태계 강화 병행해야”
잇따른 침해 사고와 개인정보 유출 사고 이후 국회가 ‘개인정보보호법’과 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 망법)’ 등 관련 법률 개정에 나서고 있다. 이번 개정안들은 대다수 기업의 책임을 강화하고 정부의 조사 권한을 넓히는 방향으로 발의돼, 반복되는 대규모 침해 사고에 제도적으로 대응하려는 목적을 담고 있다.
올해 들어 예스24, SK텔레콤, KT, 롯데카드 등 국내 주요 기업에서는 대규모 해킹 피해가 연이어 발생했다. 피해자는 수백만명에 달했는데도 사고 발생 사실이 늦게 통지되거나 정부 조사 권한이 신고 여부와 중대사고에 국한되면서, 초기 대응이 지체됐다는 비판이 계속 나왔다. 이런 문제점을 계기로 6월부터 9월 중순까지 여야 의원들은 개인정보보호법·망법 개정안을 연이어 발의했으며, 현재는 모두 소관 상임위원회에 계류 중이다.
일각에서는 법적 책임 강화에만 초점을 맞추면 기업 활동이 위축돼 정상적인 서비스 제공이나 보안 투자 자체가 줄어들 수 있다는 우려도 나온다. 자율성을 주고 충분한 시행착오를 겪지 않은 채 논의 없이 제도를 서둘러 바꾸면 현장의 혼란이 커질 수 있다는 것이다.
뒤늦은 알림으로 국민 피해 가중…“침해사고·정보 유출 사실, 명확히 알려야“
지난 4월 SK텔레콤은 내부망이 해커의 공격을 받아 유심(USIM)에 있는 국제가입자식별번호(ISMS) 등 약 2300만명 고객의 개인정보가 외부로 유출됐다. 하지만 사고 사실은 나흘 뒤에야 홈페이지 공지를 통해 알렸다. 게다가 개별 문자 발송도 닷새째가 되어서야 이뤄졌으며, 통지 내용이 모호해 피해자들은 사태의 심각성과 대응 방안을 충분히 알기 어려웠다는 비판이 나왔다.
6월 랜섬웨어 공격을 받은 예스24도 비슷한 지적을 받았다. 침해 사고로 도서 주문, 공연 예매, 전자책 열람 등 전 서비스가 마비됐지만, 초동 대응에서 예스24는 ‘시스템 점검 중’이라는 공지만 띄운 채 나흘 뒤에야 사고 사실을 공식적으로 인정했다. 특히 한국인터넷진흥원(KISA)과의 협력 여부와 개인정보 유출 가능성도 번복하며 ‘늑장 대응, 사실 은폐’라는 비판이 제기됐다. KISA는 침해사고 관련 보고서에서 예스24의 늦장 신고로 조사가 늦어져 대응이 원활하지 못했던 점을 지적하기도 했다.
이런 문제 인식 속에서 통지 의무를 강화하는 개인정보보호법 개정안이 연달아 발의됐다. 이해민 조국혁신당 의원은 6월 12일 ‘개인정보보호법 일부개정법률안(이하 개정안)’을 발의했다. 개인정보 유출 시 전화·문자·이메일·서면 등 개별 통지를 의무화하고, 통지서에 유출 항목·대응 방법 구체 표기, 그리고 개인정보처리자가 후속조치 계획을 수립해 개인정보보호위원회(이하 개인정보위)와 정보주체 모두에게 알리도록 명시했다. 이 의원은 발의 취지에 대해 “침해사고 자체보다 사고 이후 미흡한 후속조치가 소비자 불안과 사회 혼란을 키운다는 점이 반복적으로 지적됐다”며 “통지 내용을 구체화하고 개별 통지를 의무화해 이용자가 즉시 대응할 수 있게 해야 한다”고 강조했다.
일주일 뒤인 6월 19일, 최민희 더불어민주당 의원도 같은 취지로 개인정보보호법 개정안을 발의했다. 개인정보 유출 시 모든 피해자에 개별 통지를 의무화하는 것이 골자다. 홈페이지 공지에만 의존하면 피해자가 본인 정보 유출 여부를 확인하기 어렵다는 지적을 반영했다. 최 의원은 “예스24 사태처럼 홈페이지 공지만으로는 내 개인정보가 유출됐는지조차 확인하기 어렵다”며 “대규모 유출 발생 시에는 반드시 모든 피해자에게 개별 통지하도록 해, 피해자가 스스로 대응할 수 있는 권리를 보장해야 한다”고 설명했다.
사고 은폐·늑장 대응 차단 위해 ‘직권 조사, 자료 제출 의무화’ 필요
침해사고 발생시 기업의 신고에만 의존하는 구조로 정부와 조사 기관의 대응이 늦어지는 문제를 보완하려는 망법 개정안도 다수 발의됐다. 기업들의 사고 사실을 은폐하거나, 신고를 미뤄 조사가 제때 이뤄지지 못하는 것을 방지하기 위함이다.
8월 불거진 KT 소액결제 피해 사건에서는, 최초 사고 인지 후 결제 승인 문자를 받지 못한 상태에서 휴대폰 요금 고지서로 피해 사실을 뒤늦게 확인한 사례가 잇따랐다. KT는 사고를 인지하고도 KISA에 3일 뒤에야 신고해 신고 지연 논란을 낳았다. 여기에 서버 폐기 의혹까지 겹치면서 국회 청문회에서는 “중대사고 여부를 두고 정부 대응이 늦어졌다”, “기업이 자료 제출을 지연했다”는 의원들의 비판이 쏟아졌다. 현행법상 직권 조사 권한이 ‘중대사고’에 한정돼 있어, 초기 조사 자체가 제때 이뤄지지 못했다는 지적이 이어졌다.
박용규 KISA 위협분석단장은 침해사고 조사와 관련해 “기업의 자발적인 신고가 이뤄져야 조사에 착수할 수 있다”며 “사고 관련 자료도 오직 기업이 제출하는 자료에만 의존해 시간이 많이 소요된다”며 “적극적인 협조가 없으면 실질적으로 주체적으로 나서서 조사를 하기에는 한계가 있는 구조”라고 설명했다.
이처럼 기업 신고 의존 구조로는 신속하고 독립적인 조사가 어렵다는 지적이 커지면서 국회에서는 망법을 손보려는 움직임이 이어졌다. 최수진 국민의힘 의원은 9월 2일 망법 개정안을 발의해, 지금까지 ‘중대한 사고’에만 허용되던 민·관합동조사단의 사업장 출입·자료 요구 권한을 일반 사고까지 확대하도록 하고, 사업자의 자료 제출 의무를 강화하도록 명시했다. 최 의원은 “사업자가 자료 제출을 미루면 조사 자체가 지연된다”며 “일반 사고라도 신속한 조사가 가능해야 피해 확산을 막을 수 있다”고 입법 취지를 설명했다.
최민희 더불어민주당 의원은 9월 15일 개정안을 발의해, ‘침해사고조사심의위원회’를 설치하고 내부 정보 유출 등 ‘의심 정황’만 있어도 조사 개시가 가능하도록 하는 내용을 추가했다. 그는 입법 취지에서 “은폐나 지연을 막기 위해서는 ‘정황만 있어도 즉시 조사’할 수 있어야 한다”는 점을 강조했다.
조인철 더불어민주당 의원은 또 다른 망법 개정안을 냈다. 기업 내 최고정보보호책임자(CISO)에게 예산·인력 관리 권한을 부여하고 중대한 침해사고 발생 시 즉시 이용자 통지를 법제화하는 것이 골자다. 추가로 그는 기업이 정부의 시정명령을 불이행할 경우 매출액 연동 이행강제금을 부과할 수 있도록 한 개정안도 발의했다. 조 의원은 입법 취지에 대해 “CISO가 실무 책임만 지는 허수아비 지위에 머물러선 안 된다”며 “인력과 예산 권한을 보장해 기업 보안 총괄자로 실질적 역할을 수행할 수 있도록 제도를 고쳐야 한다”고 명시했다.
이해민 조국혁신당 의원 역시 같은 취지에서, 과학기술정보통신부 장관의 자료 제출·현장 조사 요구에 불응하는 기업에 이행강제금을 부과할 수 있도록 하는 망법 개정안을 냈다.
징벌적 과징금, “기업 책임 강화 vs 과도한 처벌”
여러 해킹 사태 후 쟁점으로 떠오른 징벌적 과징금은 기업 책임을 높이기 위해 과징금 상한을 높이는 개인정보보호법 개정안으로 이어졌다. 이훈기 더불어민주당 의원은 9월 10일 과징금을 강화하는 내용을 담은 개인정보보호법 개정안을 발의했다. 개정안은 일반 위반 상한을 매출액의 4%, 해킹 등 개인정보 유출 사고에 대해서는 최대 10%까지 과징금을 부과하도록 명시했다. 대국민 서비스를 제공하는 기업에서 대규모 개인정보 유출 사고가 반복되는데도 일부 기업이 여전히 보호 조치를 소홀히 하고 있어, 기업의 경각심을 높이고 보안 투자 확대를 유도하기 위해 과징금 상한을 높일 필요가 있다는 게 이훈기 의원측 설명이다.
이훈기 의원실 관계자는 “유럽연합(EU)의 경우도 과징금 규모를 매출의 3%로 하고 있고, 특히 최근 발생한 개인정보 유출 사고들은 피해가 심각해 국회 법제실과 논의한 결과 10%내외가 적당하다는 결론이 나왔다. 사안을 생각해서는 20~30%까지도 봤지만 기업 입장과 경제 상황을 고려해서 낸 것”이라고 설명했다.
이는 연이은 해킹 사태 이후 이재명 대통령이 “기업이 보안 투자를 소홀히 한 채 피해를 키운 경우에는 단순 과징금으로는 억지력이 부족하다”며 징벌적 과징금 필요성을 강조한 기조와 맞닿아 있다. 실제로 이 대통령은 9월 4일 “해킹 사고를 반복하는 기업들에 대해 징벌적 과징금을 포함한 강력한 대처가 이뤄지도록 관련 조치를 신속하게 준비해 달라”고 지시한 바 있다.
징벌적 과징금과 관련해서는 처벌 강도가 주요 쟁점이다. 개인정보위는 SK텔레콤에 약 1348억원의 역대 최대 과징금 부과했지만, SK텔레콤은 “부과 기준이 모호하고, 공격을 당한 피해 기업에 과도한 책임을 묻는다”며 불복 의사를 밝힌 바 있다. SK텔레콤 관계자는 “과징금 처분 통지서가 도착하면 상황에 맞춰 대응할 계획”이라고 말했다.
“법적 책임 강화만으론 한계, 보안 생태계 지원·투자 유도 병행해야”
한편, 국회가 내놓은 개정안들이 기업의 책임 강화와 처벌 수위 인상에 집중되면서, 현장에서 실효성이 있을지에 대한 전문가들의 우려도 나온다. 발의된 개정안들은 공통적으로 기업 책임 강화, 정부 조사 권한 확대 등 정부와 국회측 입장을 담고 있기 때문이다.
김승주 고려대학교 정보보호대학원 교수는 9월 24일 열린 국회 과학기술정보방송통신위원회 청문회에서 “이번 대규모 해킹 사태는 일부 기업들만의 문제가 아니다”라며 “정부기관 전수조사 등 국가 보안 체계 전반의 개선이 필요하다”고 정부와 관련 부처의 책임을 강조했다.
곽진 아주대학교 사이버보안학과 교수도 법 개정은 신중한 접근이 필요하다고 조언했다. 그는 “법적 책임을 강화하면 단기적으로는 기업들이 긴장하고 규정을 지키려 할 것”이라면서도 “다만 사고가 날 때마다 제재만 강화하면 서비스 제공 자체가 위축될 수 있다”고 말했다. 그는 특히 중소·영세 사업자들이 보안 인력과 기술을 갖출 여력이 부족하다는 점을 지적하며, 책임 강화만으로는 문제를 해결하기 어렵다고 지적했다. ISMS 같은 기존 인증 절차를 보완하는 데서 그칠 게 아니라, 실제 인력·기술·운영 측면에서 문제를 해결하기 위한 정책적 지원책이 병행돼야 한다는 설명이다.
또 곽 교수는 징벌적 과징금의 필요성 자체는 인정하면서도 적용 범위와 수준은 신중해야 한다고 말했다. 그는 “법적 제재와 동시에 인력 양성, 중소기업 보안 보조 같은 지원책이 병행돼야 실제 보안 투자로 이어진다”며 “보안 공시나 신용평가 제도를 도입해 시장에서 인센티브를 주고, 정부가 역량이 낮은 기업에는 기술·재정 지원을 제공하는 식으로 ‘책임 강화로 인한 위축’이 아니라 ‘책임 강화와 지원이 보안 투자로 연결되는’ 구조를 만들어야 한다”고 조언했다.
이상직 KISA 인터넷법제포럼 의장(변호사)도 단순히 법적인 책임을 강화하는 것만으로는 구조 개선에 한계가 있다고 강조했다. 그는 “인공지능(AI)를 통한 고도화 등 사이버 공격의 패러다임이 바뀐 환경에서 대기업들조차 뚫리고 있다. 신고 의무를 강화하고 과징금만 올린다고 문제가 해결될 문제가 아니다”라며 “피해가 발생했을 때 즉시 전문 인력과 보안 서비스가 투입돼 국지화하고 복구하는 ‘회복 탄력성(resilience)’ 중심의 보안 생태계가 필요하다”고 말했다. 이를 위해선 보안 기업의 성장과 집중 육성, 보안 서비스의 시장화(보안 신용평가 등), 정부의 연계 지원이 함께 이뤄져야 한다고 덧붙였다.
또한, 신고가 지연되는 문제를 풀기 위해선 제도적 유인도 필요하다는 의견도 나온다. 이 의장은 “기업들이 신고를 늦추는 이유가 단순한 은폐 차원이 아니라, 내부 책임 추궁이나 평판 악화 우려 때문일 때도 많다”며 “내부고발 활성화, 하청업체 보호 장치, 보안 공시 제도 같은 장치를 통해 신고를 유도해야 한다”고 했다. 신고가 쉽게 이뤄지고 이후 정부와 보안업계가 곧바로 지원할 수 있는 구조가 마련돼야 한다는 것이다. 그는 또 국내 보안 생태계의 약점으로 스타트업 위주의 영세한 보안업체와 하청 구조를 꼽았다. “하청 구조에서는 보안업체가 발언권을 갖기 어려워, 문제를 발견해도 적극적으로 제기하지 못하는 경우가 많다”면서 “중견·대형 보안기업을 육성하고 서비스 품질·가격 체계도 정비해야 생태계가 선순환해야 문제가 해결될 수 있다”고 덧붙였다.
전문가들은 공통적으로 법·행정·시장 사이의 유기적 연계를 강조했다. 법을 통해 기업 의무를 강화하면 조사 기관인 KISA와 개인정보위의 조사·지원 역량도 동시에 보강돼야 하며, 시장에서는 이를 받아줄 보안 서비스 공급 능력이 충분히 뒷받침돼야 한다는 것이다. 각각의 법 개정만으로는 한계가 있어 제도와 보안 생태계 전반의 균형 있는 강화가 필요하다는 점에서 목소리를 같이 했다.
한편, 현재 국회에는 유사한 내용의 법안들이 중복 발의돼 있어 병합 심사 과정에서 정리가 될 전망이다. ▲‘중대한 사고’ 기준 설정 ▲정부 조사 권한 확대가 과도한 규제로 비치지 않도록 하는 장치 ▲과징금 상향이 실제 보안 투자로 이어질지가 향후 쟁점이다. 추후 발의한 법들이 통과돼 실질적인 해킹 피해 예방과 제도 개선으로 이어질지 귀추가 주목된다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
