“과징금 넘어 재발방지로”…개인정보 해킹사고 대응 전환 시급

최근 SK텔레콤, GS리테일, 모두투어 등 대형 기업에서 대규모 개인정보 유출 사고가 이어지면서 산업계와 사회 전반에 불안이 확산되고 있다. 단일 사고로 수백만 명의 고객 정보가 외부로 유출되는 사례가 반복되고 있고, 이에 따라 개인정보보호법에 따른 과징금 부과와 형사책임도 늘고 있다. 그러나 학계와 현장에서는 “사후 처벌 강화만으론 해킹 사고 재발을 막지 못한다”는 경고가 제기된다.

국내 개인정보보호법은 기업에 사고시 통지·신고, 손해배상, 그리고 매출액의 최대 3%까지 과징금 부과 등 다양한 책임을 망라하고 있다. 현실에서는 여기에 형사제재까지 중첩되면서 처벌의 강도가 높아지고 있다. 하지만 21일 개최된 한국데이터법정책학회 세미나에서 박종수 고려대 교수는 “기업이 고도화하는 해킹의 피해자인 동시에 개인정보 보호 의무를 지는 이중적 지위에 놓여 있다”며 “제재 방식이 과도한 처벌에 치우칠 게 아니라, 기업의 사전 보안 노력과 사고 대응 실질을 종합적으로 고려해야 한다”고 밝혔다.

현장에서 반복되는 문제는 ‘신고 기피’ 현상이다. 한국정보보호산업협회 자료에 따르면 해킹 피해를 경험한 국내 기업 중 당국에 신고한 비율은 19.6%에 불과한 것으로 집계됐다. 과도한 처벌이 오히려 사고 은폐를 부추기고, 정부-기업 간 정보 공유와 협력 기반을 약화시키는 부작용을 만들고 있다는 분석이다. 박 교수는 “매출에 비례한 과징금은 단기적 충격만 남기고 장기적 예방 효과는 부족한 것이 현실”이라 강조했다.

글로벌 시장에서도 유사한 반성이 나타난다. 유럽, 미국, 일본 등은 재발 방지 대책을 우선시하면서, 신속한 신고와 실질적 보완 조치에 따라 과징금을 대폭 감경하거나, 외부 평가 및 보안 프로그램 구축 등 개선 명령으로 대체하는 추세다. 예를 들어 영국은 신속보고와 개선활동을 근거로 과징금을 최대 90%까지 줄여주고, 미국은 사고 사업장에 보안 기준 강화와 외부 인증 의무를 명령한다. 일본, 호주도 반복 방지 중심의 자율 개선 환경을 조성해, 기업이 데이터 보호에 적극 대응하도록 유도하고 있다.

전문가들은 신속 대응, 보안 프로그램 투자 확대, 데이터 수집 최소화 등 ‘적극적 예방’이 핵심이 될 것으로 내다본다. 이성엽 한국데이터법정책학회 회장은 “기술 고도화와 법제 발전 모두가 중요한 시대”라며 “결과 처벌만으로는 근본 대응이 어렵고, 예방 중심의 제도 혁신이 절실하다”고 지적했다.

대법원, 헌법재판소 역시 보안수준, 안전성 확보 노력, 피해 회복 등을 고려해 ‘비례적, 합리적 제재’가 필요하다는 입장을 유지하고 있다. 이는 단순히 결과만으로 기업에 과잉 처벌을 가하는 것의 위헌·위법 논란을 상기시키는 대목이다. 더 나아가 개인정보 보호의 본질이 ‘재발방지’와 ‘피해 최소화’에 있다는 점이 다시 강조된다.

산업계는 실효적 방어 체계와 정부-기업 간 신뢰 구축의 필요성에 초점을 맞추고 있다. “데이터가 경제 성장의 핵심 자원”이 된 오늘, 사전 예방 및 보안 내재화를 중심으로 한 정책 전환이 국내외 모두에서 산업과 사회 신뢰의 조건으로 부상하고 있다. 기술과 윤리, 처벌과 예방 거버넌스의 균형이 개인정보보호 혁신의 관건이라는 분석이 힘을 얻고 있다.