해킹 사고 ′징벌적 과징금′ 등 제재 강화, 실효성 거두려면
직권조사·은폐방지법 등 기업 책임 강화 잇따라…“사전 협의·보안 거버넌스 병행돼야”
정부와 국회가 해킹·개인정보 유출 사고에 대한 기업의 법적 책임을 대폭 강화한다. 연이은 대형 침해사고에 정보 유출 사태에 대응하기 위해 ‘직권조사’와 ‘징벌적 과징금’을 제도화하고, 은폐나 늑장 신고에는 매출액의 최대 10% 과징금을 부과하는 방안을 추진 중이다.
하지만 현장에서는 “강한 처벌만으로는 근본적 보안 체계가 바뀌지 않는다”는 우려도 커지고 있다. 사고 이후 제재보다 사전 협의와 정보공유 같은 ‘보안 거버넌스 강화’가 먼저 이뤄져야 책임 강화 기조도 효과를 거둘 수 있다는 전문가들의 지적도 나온다.
국회, 해킹 은폐 방지법 잇따라 발의…“책임 강화로 반복 막겠다”
국회는 올해 연이어 대규모 해킹 사고와 관련해 기업의 책임을 강화하는 법안을 잇따라 내놓고 있다. 황정아 더불어민주당 의원은 지난 4일 일명 ‘해킹 사태 은폐 방지법(정보통신망 이용촉진 및 정보보호 등에 관한 법률[이하 정보통신망법] 개정안)’을 대표 발의했다.
법안은 해킹 피해 신고를 고의로 누락하거나 사실을 은폐한 기업에 매출액의 최대 5% 과징금을 부과하고, 해킹이 의심되는 정황만 있어도 과학기술정보통신부가 신고 없이 직권조사에 착수할 수 있도록 했다. 황 의원은 “최근 통신사 해킹 사태처럼 국가 인프라의 신뢰를 흔드는 사고에는 기업의 투명한 대응이 필수”라며 “은폐 단계부터 차단할 수 있도록 제도를 보완해야 한다”고 설명했다.
최수진 국민의힘 의원은 중대한 사고로 한정돼 있던 민·관합동조사단의 출입 및 자료 요구 권한을 일반 사고까지 확대하는 정보통신망법 개정안을 냈다. 조인철 민주당 의원은 기업의 최고정보보호책임자(CISO)에게 예산·인력권을 부여하고, 정부의 시정명령을 따르지 않을 경우 매출액 연동형 이행강제금 부과 조항을 신설했다. 모두 기업의 책임을 강화하는 징벌적 과징금 강화 추세와 연결된다.
국회의 이같은 움직임에 대해 곽진 아주대학교 사이버보안학과 교수는 “사고가 반복될 때마다 법을 손질해 징벌을 강화하는 방식은 일시적으로 경각심을 줄 수 있지만, 근본적 해결책은 아니다”며 “일부는 기업의 자율성을 더 지켜보면서 보안 투자가 벌칙이 아닌 문화로 정착하도록 해야 한다”고 말했다. 그는 “정부가 실태 점검을 강화하되 현장의 부담과 투자 역량을 고려해 균형 있게 제도화할 필요가 있다”고 덧붙였다.
배경훈 장관은 범정부 정보보호 대책 발표 당시 ”해킹 신고를 성실히 한 기업에 대한 인센티브 제도 등도 고려하겠다”고 언급했지만, 아직까지 실제로 제도 추진 움직임은 없는 상황이다. 한국인터넷진흥원(KISA) 관계자는 “아직까지 KISA 차원에서 (인센티브)와 관련해 논의된 바는 없다. 과기정통부에서 관련 제도를 손보고 있는 것으로만 알고 있다”고 일축했다.
“징벌만 강화하면 누가 신고하나”…기업은 위축
징벌적 과징금 논의가 본격화되면서 기업 현장에서는 투명한 신고가 더 어려워질 수 있다는 우려도 나온다.
최근 2300만명 규모의 개인정보가 유출된 SK텔레콤 사례에서 개인정보위는 역대 최대 과징금(약 1348억원)을 부과했고, 이와 별도로 개인정보분쟁조정위원회는 최근 피해자 1인당 30만원 배상 조정안을 의결했다.
하지만 기업들은 이러한 조치가 제재의 중복으로 이어질 수 있다고 지적한다. 한 통신사 관계자는 “과징금과 분쟁조정이 동시에 이뤄지면 결국 기업은 신고 자체를 주저하게 된다”며 “현장에선 사고를 공개하기보다 내부적으로 봉합하려는 분위기가 생기지 않겠냐”고 말했다.
개인정보위는 “분쟁조정은 법적 강제력이 없는 피해자 구제 절차일 뿐 행정 제재가 아니다”라고 해명했지만, 업계에서는 “결국 실질적 부담은 동일하다”는 볼멘소리도 나온다.
특히 정보통신망법 개정안이 통과되면 정부가 기업 신고 없이도 조사에 착수할 수 있다. 통신사 관계자는 “모든 침해사고가 곧바로 제재로 이어질 것”이라는 우려를 내비쳤다.
“해킹 사고 사전 협의·공유 플랫폼 필요” 징벌만으론 근본 해법 안 돼
전문가들은 자율성과 책임에 균형점을 잡는 것이 중요하다고 조언한다. KISA 인터넷법제포럼 의장을 맡고 있는 이상직 변호사는 법적 처벌보다 ‘사전 대응 체계’ 강화에 우선적으로 초점을 맞춰야 한다고 강조한다.
그는 “현재는 침해사고 발생 후 24시간(정보통신망법 기준), 개인정보 유출사고 발생 후 72시간(개인정보보호법 기준) 내에 신고하도록 돼 있지만, 그 전에 사전 협의 단계를 제도화할 필요가 있다”며 “기업이 침해 정황을 인지한 즉시 신고에만 신경쓰지 않고 자율적으로 정부나 KISA와 협의해 대응 조언을 받을 수 있는 분위기를 만들어줘야 한다”고 말했다.
이 의장은 또 “인공지능(AI)을 이용한 지능형 공격이 늘어나면서 대기업조차 뚫리는 시대”라며 “투자를 하고 조치를 했다고 해서 사고가 나지 않는 것이 아니”라며 “사고 후 제재보다 기업이 스스로 거버넌스를 강화할 수 있는 자율 규제 체계를 만들도록 환경을 조성해 줘야 한다”고 강조했다.
특히 “기업들이 해킹·유출 징후를 익명으로 공유하는 ‘블라인드 정보공유 플랫폼’을 만들면 기업들도 사고 노출 우려를 줄이고 업계 전체가 조기 경보 체계를 세울 수 있다”며 “이를 모니터링해 정부와 KISA가 기술 지원, 보안 기업이 분석, 피해 기업이 초기 사실을 공유하는 종합적인 보안 거버넌스가 필요하다”고 제언했다.
곽진 교수 역시 “법적 처벌 강화만으로는 사고를 줄일 수 없다”며 “기업이 스스로 보안 체계를 점검하고, 문제가 생겼을 때 신속하게 수정할 수 있는 사후 관리 시스템이나 운영상 거버넌스를 확립하는 게 더 중요하다”고 말했다.
그는 “정부가 일정 수준의 관리 기준을 제시하되, 기업 내부의 보안 운영을 일일이 통제하기보다는 자율성과 책임을 부여하는 방향으로 가야 한다”며 “그게 진짜 지속 가능한 보안 문화”라고 강조했다.
또 “징벌적 과징금이 도입되면 기업들은 단기적으로 규정 준수에 몰두하겠지만, 장기적으로는 ‘보안은 비용’이라는 인식이 더 굳어질 수 있다”며 “이를 방지하려면 인력 양성, 중소기업 보안 지원, 시장 기반 인센티브 제도가 함께 설계돼야 한다”고 말했다.
해외도 ‘처벌+인센티브 병행’…자율 보고·투명성 강조
유럽연합(EU)은 일반개인정보보호법(GDPR)을 통해 매출의 4% 또는 2000만유로 중 큰 금액을 과징금으로 부과할 수 있도록 하고 있다. 실제로 메타(페이스북)는 2023년 개인정보 이전 규정 위반으로 12억유로(약 1조8000억원)의 벌금을 받았다.
하지만 동시에 자율 보고와 신속 대응 기업에는 감경 제도를 적용하고 있다. 영국 정보위원회(ICO)는 브리티시 에어웨이즈의 해킹 사건 조사에서, 투명하게 협조하고 보안 대책을 신속히 제출한 점을 고려해 당초 예고된 과징금을 80% 이상 감경했다.
미국에서도 해킹이나 데이터 유출을 조기에 신고한 기업에는 ‘데이터 손실 보고서(Data Breach Report)’를 통해 사후 컨설팅 및 벌금 감면이 제공된다. 미국 연방거래위원회(FTC)는 이를 ‘징벌보다 복구와 개선 중심의 제도’로 평가한다. 즉, 과징금과 함께 투명성·회복력·정보 공유 인센티브를 병행하며 실질적인 보안 역량 강화를 유도하고 있는 것이다.
이번 정부의 징벌적 과징금 강화 기조는 분명한 방향성을 갖고 있다. 해킹 은폐를 막고, 반복 사고를 차단하겠다는 취지다. 그러나 법과 제도가 작동하려면 기업이 신고를 ‘불이익’이 아닌 ‘책임 있는 행동’으로 인식할 수 있는 구조가 필요하다는 게 전문가들 대다수의 목소리다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
