[그게 뭔가요] 침해사고 책임 강화한 보안 규제, 쟁점은?
지난해 통신사, 금융사, 플랫폼 기업에서 대형 침해사고와 개인정보 유출 사고가 이어지자, 국회와 정부는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법(정보통신망법)’과 개인정보 보호법을 개정했다.
이번 법 개정은 침해사고 뒤 제재를 강화하고, 평소 보안 관리와 내부통제 의무를 더 분명히 하는 데 초점을 맞췄다. 정보통신망법은 반복 침해사고에 대해 매출액의 3% 이하 과징금을 물릴 수 있도록 했고, 침해사고 미신고·지연 신고와 시정명령 불이행 과태료 상한은 3000만원에서 5000만원으로 높였다. 개인정보 보호법은 반복적이거나 중대한 위반에 전체 매출액의 최대 10%까지 과징금을 부과할 수 있는 특례를 도입하고, 개인정보 유출 가능성을 알게 된 경우에도 의무적으로 통지하도록 했다. 대표이사의 관리·감독과 이사회의 책임도 함께 강화했다.
쟁점은 규제 강화 방향 자체보다는 세부 기준이다. 산업계는 대체로 제도 강화 필요성에는 공감하지만, 정보통신망법상 조사 착수 기준과 범위, 개인정보 보호법상 10% 과징금 특례 적용 요건과 ‘유출 가능성’ 판단 기준이 불명확하면 기업 부담이 커질 수 있다고 본다. 여기에 증거보전명령, 로그 기록 보존 의무, 자료 제출 불이행 시 이행강제금 같은 추가 입법도 논의되고 있다.
‘정보통신망법’에서 달라진 점
정보통신망법 개정안은 3월 12일 국회 본회의를 통과했다. 정부가 법을 검토한 뒤 공포를 하면, 6개월 뒤부터 시행된다. 아직 공포일은 확정되지 않았다. 개정의 핵심은 크게 세 가지다. ▲반복 침해사고 과징금 신설 ▲정부 조사 권한 확대 ▲과태료 상향이다.
먼저 가장 눈에 띄는 건 ‘반복 침해사고 과징금 신설’이다. 사업자의 고의 또는 중과실로 침해사고가 5년 안에 2회 이상 반복되면 매출액의 3% 이하 과징금을 부과할 수 있게 했다. 여기서 중요한 건 3%로 올렸다기보다, 기존에는 침해사고 자체에 대해 직접 과징금을 물리는 조항이 사실상 없었다는 점이다. 그동안은 사고 그 자체보다, 미신고나 지연 신고 같은 절차 위반에 과태료를 매기는 구조에 가까웠다.
두 번째는 ‘직권 조사 권한 확대’다. 기존에는 침해사고 발생이 확인된 뒤에야 본격 조사로 가는 흐름이 강했다. 개정안은 여기서 한발 더 나갔다. 이제는 사업자 신고가 없어도 침해 의심 정황만 있으면 조사에 착수할 수 있는 근거가 생겼다. 조사 개시 여부와 민관합동조사단 구성, 현장조사 필요성은 새로 두는 침해사고조사심의위원회가 판단하도록 했다.
세 번째는 ‘과태료 상향’이다. 침해사고를 신고하지 않았거나 늦게 신고한 경우, 또는 시정명령을 이행하지 않은 경우의 과태료 상한이 기존 3000만원에서 최대 5000만원으로 높였다. 정부 입장에서는 기업이 사고를 쉬쉬하거나 신고를 늦추는 유인을 줄이려는 조치다. 여기에 통신사는 보안 관리·대응 매뉴얼을 마련해 제출해야 하고, 일정 규모 이상 기업은 정보보호위원회 설치와 이사회 보고 의무도 지게 된다.
찬성 의견 “타격이 커야 제대로 투자한다”
찬성하는 쪽은 이번에 개정된 정보통신망법이 ‘기업이 보안에 진짜 투자를 하게 만드는 장치’라고 본다. 지금까지는 침해사고가 나도 제재가 약했고, 그래서 보안 투자가 늘 비용으로 밀려났다는 지적이 많았다.
하지만 이제는 반복 사고를 내면 매출액의 3%까지 과징금을 물 수 있고, 미신고·지연 신고 과태료도 5000만원으로 올라간다. 사고 뒤에 치르는 값이 커진 만큼, 기업이 사전 투자를 더 진지하게 보게 된다는 논리다. 이런 제재 강화가 보안 장비, 서비스, 인력 투자 확대를 유도할 수 있다고 보는 시각이다.
정부가 침해 의심 단계에서 먼저 조사에 들어갈 수 있게 된 점도 필요하다는 시각도 있다. 해킹 사고는 초기에 대응해야 피해 확산을 막을 수 있는데, 기업 신고를 기다리다 골든타임을 놓칠 수 있기 때문이다. 지난해 실제 사고들에서도 신고 지연이 반복 쟁점이 됐다는 점을 떠올리면, 정부가 먼저 들어갈 수 있는 문을 열어둔 셈이라는 평가다.
반대 의견 “법적 해석에 따라 달라질 수 있어”
반대로 산업계와 법조계에서는 기준이 모호할 수 있다는 점을 우려한다. 예를 들어 ‘침해 의심 정황’이 어디까지인지, ‘고의 또는 중과실’은 어느 정도를 뜻하는지 법적 해석이 엇갈릴 수 있다는 것이다. 조사 권한이 넓어진 만큼, 어디까지를 정부 개입의 출발점으로 볼지 하위 법령과 집행 기준이 중요해졌다.
또 하나는 ‘중복 규제 우려’다. 해킹 사고가 개인정보 유출로 이어지면 정보통신망법과 개인정보 보호법이 함께 적용될 수 있다. 기업 입장에서는 한 사건인데 두 법이 동시에 작동하는 구조가 부담일 수 있다. 기업들은 중복 규제 가능성과, 아직 남아 있는 하위 법령 정비가 얼마나 합리적으로 이뤄지는 지를 관건으로 보고 있다.
‘개인정보 보호법’에서 달라진 점
개인정보 보호법은 3월 10일 공포되어 대부분의 조항은 오는 9월 11일부터 시행된다. 다만 정보보호 및 개인정보 보호 관리체계 인증(ISMS-P) 인증 의무화 관련 조항은 2027년 7월 1일 시행된다. 이번 개정의 핵심은 징벌적 과징금 특례, 유출 가능성 통지, CEO·CPO 책임 강화다.
가장 큰 변화는 ‘과징금 특례’다. 기존 일반 과징금 체계는 관련 없는 매출을 제외한 매출액의 3% 이내였다. 이번 개정으로는 반복적이거나 중대한 위반에 한해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있는 특례가 생겼다.
개인정보위가 설명한 적용 요건은 세 가지다. ▲최근 3년간 고의 또는 중대한 과실로 위반을 반복한 경우 ▲고의 또는 중대한 과실로 1000만명 이상 대규모 피해를 낸 경우 ▲시정명령을 이행하지 않아 유출 사고가 발생한 경우다. 즉 일반 상한을 일괄 상향한 게 아니라, 비난 가능성이 큰 사안에만 10% 특례를 적용한다.
두 번째는 ‘유출 가능성 통지’다. 기존에는 개인정보가 유출 등이 되었음을 알았을 때 통지하는 구조였다. 개정안은 여기서 한발 더 나갔다. 이제는 개인정보처리자가 유출 등의 가능성을 알게 된 때에도 지체 없이 정보주체에게 알려야 한다. 또 통지·신고 대상도 단순한 분실·도난·유출에서 그치지 않고 위조·변조·훼손까지 넓혔다. 피해구제 방법도 함께 고지하게 했다. 이용자에게 더 빨리 대응 기회를 주겠다는 취지다.
세 번째는 ‘경영진 책임 강화’다. 개정안은 사업주 또는 최고경영자(CEO)에게 개인정보 처리와 보호의 최종책임자로서 관리·감독 의무를 더 명확히 부여했다. 일정 규모 이상 개인정보처리자는 최고개인정보보호책임자(CPO)를 지정·변경·해제할 때 이사회 의결을 거쳐야 한다. CPO는 전문 인력 관리와 예산 확보 업무를 수행하고, 그 내용을 대표자와 이사회에 보고해야 한다.
여기에 ‘사전 투자 인센티브’ 조항도 포함했다. 개인정보 보호 관련 예산·인력·설비·장치에 투자·운영한 경우, 고의 또는 중과실 사고가 아니라면 과징금을 감경할 수 있게 했다. 한쪽에서는 제재를 세게 하고, 다른 한쪽에서는 평소 투자한 기업을 감경으로 보겠다는 구조다.
찬성 의견 “개인정보 사고를 경영 리스크로 받아들여야”
찬성하는 쪽은 “개인정보 유출 피해가 워낙 크기 때문에, 기존 3% 체계만으로는 억지력이 약했다”고 본다. 특히 반복 위반이나 1000만명 이상 피해처럼 규모가 큰 사고에는 더 무거운 책임을 물어야 기업도 개인정보 유출 사고를 경영 리스크로 받아들이게 된다는 것이다.
‘유출 가능성 단계 통지’는 이용자 보호 측면에서 꼭 필요하다는 시각이다. 실제 유출 여부가 모두 확정될 때까지 기다리면, 이용자는 비밀번호를 바꾸거나 추가 피해를 막을 시간을 놓칠 수 있기 때문이다. ‘먼저 알리고, 뒤에서 정리’하는 방식이 완벽하진 않아도 더 현실적이라는 얘기다.
‘경영진 책임 강화’ 역시 같은 맥락이다. 개인정보 보호 예산과 인력을 실제로 결정하는 건 대표이사와 이사회다. 실무 조직만 책임지는 구조로는 투자 확대가 쉽지 않다.
반대 의견 “중대한 과실 어떻게 입증? 비용도 부담”
반대하거나 우려하는 쪽은 개인정보 보호법에서도 ‘기준의 예측 가능성’을 문제 삼는다. 10% 특례 자체보다, ‘고의 또는 중대한 과실’, ‘반복 위반’, ‘중대한 피해’를 실제 사건에서 어떻게 판단할지가 관건이라는 것이다. 과징금 숫자보다 어떤 기준으로, 어떤 회복을 요구하며 제재할지가 중요하다는 입장이다.
‘유출 가능성 통지 의무’도 기업 실무에서는 부담이다. 실제 유출 여부가 다 확인되지 않았는데 먼저 공지하면, 사실관계가 정리되기 전에 기업에 대한 신뢰가 흔들릴 수 있기 때문이다. 제도가 정착되면 공통 기준이 생기겠지만, 초기에는 먼저 공개한 기업이 더 큰 평판 리스크를 떠안을 수 있다는 고민이 나온다.
개인정보 보호 인증 의무 확대도 마찬가지다. 현행 ISMS-P 의무 대상은 정보통신서비스 부문 전년도 매출 100억원 이상 또는 일일 평균 이용자 수 100만명 이상 사업자, 상급종합병원, 재학생 수 1만명 이상 학교 등인데, 이번 개정으로는 ‘중요 개인정보처리자’까지 인증 의무를 넓히는 근거가 들어갔다. 방향엔 공감해도, 인증 준비와 유지 비용이 커질 수 있다는 우려다.
앞으로 남은 과제는?
이번 개정으로 규제의 큰 방향은 잡혔다. 하지만 실제 제도가 어떻게 작동할지는 아직 더 지켜봐야 한다. 정보통신망법은 아직 하위 법령이 남아 있어, 정부가 어떤 경우에 조사에 착수할지, 조사 절차와 범위를 어디까지 둘지 더 구체적인 기준이 필요하다.
개인정보 보호법도 매출 10% 특례를 어떤 경우에 적용할지, ‘유출 가능성을 알게 된 때’를 어디까지 볼지, ‘중요 개인정보처리자’를 어떤 기준으로 정할지 시행령에서 정해야 한다. 업계가 주목하는 부분도 결국 이런 집행 기준이 얼마나 분명하게 마련되느냐다.
추가 입법 논의도 이어지고 있다. 개인정보위는 후속 과제로 증거보전명령, 자료 제출 불이행 시 이행강제금, 대규모 개인정보처리자 정기 실태점검, 과징금 산정 기준 강화 등을 검토하고 있다. 국회는 로그 기록 같은 디지털 증거를 일정 기간 보존하도록 의무를 더 분명히 해야 한다는 주장도 나온다.
남은 과제는 현장의 목소리를 담아 구제를 더 촘촘하게 다듬는 것이다. 실제 현장에서 어느 수준까지 준비해야 하는지, 사고가 났을 때 무엇을 얼마나 빨리 제출하고 설명해야 하는지, 또 기업 규모에 따라 어떤 지원과 보완책이 필요한지도 함께 정리되어야 있다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
