[더구루=홍성일 기자] 최근 대규모 개인정보 유출 사고가 잇따르는 가운데, 과도한 과징금 등 사후 처벌에만 집중하는 현행 제도를 개선하고 재발 방지에 초점을 맞춘 지속 가능한 보안 체계를 구축해야 한다는 목소리가 높아지고 있다. 해킹 피해 기업에 책임만 묻는 현행 방식은 기업의 협력을 위축시켜 국가 전체의 보안 역량을 저해할 수 있다는 지적이 나온다.

21일 한국데이터법정책학회는 웨스틴 조선호텔에서 '해킹 및 개인정보 유출 등 정보보호법의 이슈와 과제'라는 주제를 가지고 세미나를 개최했다. 세미나에서는 과징금 부과, 형사처벌 강화 등 '결과 책임' 중심의 제재가 근본적인 해결책이 될 수 있는지에 대한 논의가 집중적으로 이뤄졌다. 

발제자로 나선 고려대학교 박종수 교수는 "기업은 개인정보 보호의무를 지는 동시에 고도화된 해킹의 피해자라는 이중적 지위에 있다"며 "과징금 중심의 처벌보다는 비례성 원칙과 재발방지 대책을 핵심으로 하는 제재 운영이 필요하다"고 강조하며 현행 개인정보보호법에 개선이 필요하다고 강조했다. 

실제 현행 개인정보보호법은 유출 사고 발생 시 기업에 매출액 최대 3%의 과징금을 부과하는 등 강력한 사후 제재를 규정하고 있다. 그러나 대법원과 헌법재판소는 단순히 유출이라는 결과만으로 과도한 제재를 가하는 것은 위헌 소지가 있다고 지적하고 있는 상황이다. 

세미나에서는 이런 과도한 제재가 결국 기업과 정부 간 정보 공유와 협력을 위축시켜 국가 차원의 보안 대응력을 저하시킬 수 있다는 우려도 제기됐다. 기업들이 침해사고를 적극적으로 알리기보다는 숨기려는 유인이 강해지기 때문이다. 또한 개인정보보호위원회가 컨트롤타워로서 역할을 제대로 하기 위해서는 사후 처벌보다는 사전 예방과 협력 강화에 중점을 두는 체계가 필요하다는 지적이 나오기도 했다. 

처벌 위주의 정책이 글로벌 스탠다드와도 거리가 있다는 주장도 나왔다. 해외에서는 재발 방지 중심의 제재 운영이 보편적 흐름으로 자리 잡고 있다는 것. 실제로 영국은 사고 후 신속 보고와 보완 조치를 취하면 과징금을 최대 90%까지 감경해주고 있으며 미국은 과징금 부과 대신 보안 프로그램 구축, 데이터 최소화, 외부 평가 의무화 등의 개선 명령을 내리고 있다. 일본과 호주 역시 사고 재발 방지를 위한 보안 활동 의무화와 신속 대응 시 과징금 면제를 통해 기업이 적극적으로 대응할 수 있는 환경을 조성하고 있다.

박종수 교수는 "데이터가 경제 성장의 핵심 자원이 된 지금, 개인정보 보호는 단순한 처벌 강화로 달성될 수 없다"며 "국민 신뢰를 확보하기 위해서는 비례적이고 합리적인 제재와 함께 지속 가능한 보안 강화 체계로 나아가야 한다"고 강조하기도 했다. 

업계 관계자는 "이번 논의는 개인정보보호법의 향후 개정 방향에 중요한 시사점을 던진다"며 "과징금과 처벌 강화만으로는 실효성을 담보하기 어려울 뿐 아니라 기업과 사회 전반의 협력적 대응을 저해할 수 있다는 점을 고려해 개정 방향을 논의해야할 것"이라고 말했다.