“해킹사고에 CEO 해임까지”…정부, 보안책임 법제화 추진

대규모 해킹 사고와 개인정보 유출이 잇따르며, 정부가 기업 CEO의 직접적 보안책임을 법령에 명문화하는 방안을 발표했다. 이는 최근 롯데카드 정보유출 사태 등 금융권과 ICT기업에서 반복되는 대형 해킹사고가 사회적 불안요소로 떠오른 데 따른 조치다. 앞으로는 보안관리 소홀로 대규모 사고가 발생할 경우, 기업 최고경영자의 해임까지 요구될 수 있는 강력한 책임 규정이 적용된다. 업계에서는 이번 범정부 대책을 ‘기업 보안 리더십 패러다임 전환’의 분기점으로 본다.

정부는 22일 정보보호 종합대책을 발표하며, 기업 CEO의 보안 책임 원칙이 법률상 명확히 규정된다고 밝혔다. 아울러 보안최고책임자(CISO)·개인정보최고책임자(CPO) 권한 역시 대폭 강화된다. 이미 금융사 지배구조법은 임원들의 정보보호 관련 책무와 권한을 세부적으로 문서화해 제출토록 하고 있다. 신진창 금융위 사무처장은 “대규모 사고시 지배구조법상 CEO 해임 조치까지도 가능하다. 구체적 책임 범위는 검사 결과에 따라 판단할 것”이라고 설명했다.

기술적 측면에서는 정보통신망법상 과징금 체계 역시 강화된다. 금융업계와 마찬가지로 전체 매출의 3%에 해당하는 과징금 또는 영국 등 해외 사례에 근거한 최대 10% 대 과징금 부과 등 제재수준이 대폭 상향될 수 있다. 이와 함께 CISO·CPO의 실질적 권한·의무 확대도 추진된다. 특히 이번 방침은 기존의 단순 경고 및 과태료 방식에서 CEO 해임 등 직접적 경영책임 전가로 전환되는 것이 특징이다.

시장 적용의 경우, 정보보호 공시 의무 기업이 현 666개사에서 약 2700여개사로 크게 확대된다. 내년 상반기 공시의무화 시행 이후에는 공시 결과를 종합해 등급화해 공개하는 체계도 도입된다. 금융권은 비상장사까지 공시 의무를 검토 중이며, 메타·구글 등 글로벌 플랫폼 사업자에게도 동일 요건이 적용된다. 이는 네이버, 카카오와 같은 국내 IT기업뿐 아니라 외국계 ICT기업들도 예외 없이 정보보호 역량을 제도적으로 평가받게 함을 의미한다.

글로벌 기준과 비교하면, 유럽과 영국은 이미 GDPR 등 강력한 개인정보책임 법제를 도입했고, 사고 발생시 경영진 책임을 법적으로 명시하고 있다. 정부는 해외 선진사례를 참고해 제재·책임 수준을 단계적으로 높일 방침이다. 아울러 공시의무 확장, CISO 등 임원 권한 강화 조치 외에도 데이터 유출 예방, 사고 대응 시스템 전반을 강화하는 가운데 업계·외국계 기업의 규제 동등 원칙을 강조하고 있다.

전문가들은 국내 정보보호 정책 변화에 대해 “법적 책임이 CEO까지 미치면서 실질적 조직문화가 바뀔 수 있다”며 산업현장에 긴장감이 확산되는 흐름을 짚는다. 향후 실제 상장사 혹은 글로벌 플랫폼 기업에서 대형 해킹사고가 발생할 경우, 경영진 해임 등 후속 파장이 산업 전반으로 확산될지 주목된다. 산업계는 이번 제도 변화가 실효성 있는 보안 강화로 이어질 수 있을지, 규정의 세부 설계 및 집행 단계를 예의 주시하고 있다.