◇여야, 과징금 확대 공감
여야가 발의한 법 개정안에 공통적으로 담긴 내용은 ‘반복적·중대한 개인정보 침해 사고에 대한 과징금 도입’에 관한 특례 조항이다. 최근 3년간 고의 또는 중대한 과실로 인해 위반행위를 반복한 경우, 고의 또는 중대한 과실로 대규모(1000만 명 이상) 정보주체에게 피해를 초래한 경우, 시정명령 불이행으로 개인정보를 유출한 경우 등을 징벌적 과징금 부과 대상으로 정했다.박범계 더불어민주당 의원이 대표발의한 안은 기업이 정부에 신고해야 하는 ‘사고 통지 범위’를 분실·도난 유출에서 위조·변조·훼손까지 확대했다. 또 유출 가능성 있는 경우에도 통지 의무가 있다는 조항을 신설했다. 단체 소송시 기업에 손해배상도 청구할 수 있게 된다.
국민의힘이 발의할 예정인 법 개정안은 큰 틀에서 민주당안과 비슷하다. 개인정보 보호에 적극적으로 투자하는 기업에 대한 인센티브(과징금 감경)를 도입하고, 개인정보보호책임자(CPO) 임면 조건 등을 강화하는 내용이 주된 차이점이다.
◇업계 “보상도 함께 줘야”
업계에선 징벌 위주 대책만으로는 실효성을 거두기 어렵다는 지적이 나온다. 대형 플랫폼 업체 관계자는 “과징금 규모도 문제지만, 이후 발생할 집단소송 등의 후폭풍을 감안하면 사실상 기업의 존폐가 달린 문제”라며 “이를 막기 위해선 구글 등 빅테크처럼 천문학적인 규모의 투자를 보안에 쏟아부어야 한다”고 호소했다.통신·플랫폼 등 개인정보를 보유한 기업들이 가장 우려하는 것은 ‘100% 방어’가 불가능하다는 점이다. 통신업계 관계자는 “일단 내부 단속에 최선을 다한다고 해도 외부 해킹을 통한 개인정보 유출이 과징금 부과 대상에 해당하는지 불분명하다”며 “만일 외부 해킹에 의한 피해까지 과징금 대상에 포함된다면 기업들이 실제 보안 투자를 얼마나 할 수 있을지 의문”이라고 지적했다. 해커는 한 곳만 뚫으면 되지만, 방어하는 기업은 모든 방면의 위협을 100% 방어해야 하기 때문에 사실상 통제가 불가능하다는 얘기다.
전문가들은 징벌에만 초점을 맞추면 산업 현장의 재해와 비슷한 결과로 이어질 수 있다고 우려한다. 최근 이재명 대통령은 잇따른 산재 사고와 관련해 “겁주고 수사해도 산재가 안 준다”며 답답함을 토로했다. 업계 관계자는 “지나치게 과도한 규제는 기업의 자진 신고를 꺼리게 하는 요인이 될 수 있다”며 “정보 유출에 대한 제재와 함께 재발 방지를 위한 인센티브 등 지원책도 정부 차원에서 함께 논의할 필요가 있다”고 강조했다. 유출 방지를 위해 노력한 기업에 인센티브를 주는 제도도 필요하다는 얘기다.
일각에선 정부의 징벌 일변도 정책이 팰로앨토 등 미국 빅테크에 대한 의존만 높일 것이란 지적도 나온다. 국내 보안기업들의 규모가 영세한 데다 전문 인력을 구하는 데도 난항을 겪고 있어서다. 지난해 과학기술정보통신부가 실시한 정보보호 실태조사에 따르면 국내 정보보안 관련 기업 중 증권시장에 상장된 곳은 28곳에 불과하다. 이 중 매출 1000억원을 넘는 기업은 4곳뿐이다.
정소람/최지희/최해련 기자 ram@hankyung.com