“해킹 은폐땐 매출 3% 과징금”…정부·국회, 정보보호 규제 강화

해킹 침해사고의 은폐와 늑장 신고에 대한 처벌이 대폭 강화될 전망이다. 기업과 기관에서 잇따라 발생하는 해킹, 정보 유출 사건 가운데 일부 사업자가 사고를 축소하거나 신고 의무를 지키지 않는 사례가 반복되자, 과태료 수준의 기존 제재로는 정보보호 실효성을 담보하기 어렵다는 지적에 정부와 국회가 직접 움직였다. 새로운 법률안은 기업의 매출액 최대 3%에 달하는 징벌적 과징금을 부과하는 내용까지 담아 업계의 경각심을 높이고 있다. 정보보안 산업계와 전문가들은 이번 입법 추진이 “사이버 보안 리스크 관리의 전환점”이 될 수 있다고 평가하고 있다.

국회 과학기술정보방송통신위원회 소속 이주희 더불어민주당 의원은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안을 대표 발의했다고 밝혔다. 개정안에는 해킹 등 침해사고 신고를 지연하거나 아예 하지 않은 경우, 자료 제출을 거부하거나 허위 자료를 제출한 경우, 조사를 방해하고 자료보전 명령을 위반한 경우 등에 대해 대통령령으로 정하는 매출액의 최대 3%까지 과징금을 부과할 수 있도록 하는 내용이 들어갔다. 위반의 고의성, 반복성, 피해 규모, 유출·변조된 정보 범위 등도 함께 고려해 과징금 수준이 결정된다. 또 과징금 이외에 과태료가 중복 부과되는 일이 없도록 해 처벌 체계의 일관성도 강화한다는 방침이다.

이번 개정 배경에는 최근 잇따른 침해사고와, KT 등 대형 통신 사업자의 사례가 있다. ‘KT 침해사고 민관합동조사단’ 조사 결과, KT는 지난해 서버 43대가 악성코드 ‘BPFDoor’에 감염된 사실을 인지하고도 정부에 제때 신고하지 않고 자체적으로 사고 사실을 은폐했다. 조사단은 KT가 백신 실행 기록이 있음에도 로그 제출을 늦추는 등 당국 조사에 비협조적이었던 정황을 파악해 수사를 의뢰했다. 이러한 사례들이 반복됨에 따라 기존 과태료만으로는 실효적 통제가 어렵다는 비판이 커졌다.

기존에는 침해사고 발생 시 3천만원 이하의 과태료 처분이 일반적이었으나, 법 개정으로 징벌적 과징금 제도가 도입되면 수백억 원에 달하는 대기업에 대한 실질적 억지 효과가 기대된다. 해외에서도 EU GDPR 등 강력한 개인정보처벌 제도가 도입된 이후, 기업 침해사고 대응 패러다임이 바뀌고 있다는 분석이 나온다.

정부 역시 지난해 10월 범부처 정보보호 종합대책에서 침해사고 은폐·축소에 대한 징벌적 과징금 도입과 수사·조사권 강화 방안을 발표한 바 있다. 업계에서는 국내외 정보보호 정책 추세와 맞물려 본격적인 실효성 중심 제재로의 전환이 현실화될 것으로 본다.

이주희 의원은 “KT 사례에서 드러났듯 해킹사고를 숨기거나 신고를 늦추면 국민과 산업 전반에 피해가 기하급수적으로 커진다”며 “정보보호가 산업 경쟁력과 직결되는 만큼, 단순 처벌을 넘어 실질적 예방·억지체계를 강화해야 한다”고 강조했다.

전문가들은 법 개정 이후 산업의 대응체계, 기업 내부통제와 정보보호투자 수준이 크게 변화할 수 있다고 전망한다. 산업계는 새로운 정보보호 규제가 실제 시장에 안착할 수 있을지 주시하고 있다.