‘징벌적 과징금’ 도입에 전문가들 “분명한 한계⋯인센티브 병행해야” [해킹, 붕괴된 금융 신뢰]

정부, 보안사고에 매출 3% 넘는 과징금 추진...금융권은 3%
“은폐 유인 커질 수도…인센티브·피해자 구제 병행 필요”

(챗GPT)

정부가 잇따른 보안 사고에 ‘징벌적 과징금’ 카드를 빼 들었지만 전문가들은 미봉책에 불과하다고 지적했다. 과징금만 높이지 말고 인센티브 등 정보보호 부문의 투자와 인력을 늘릴 수 있는 유인책이 병행돼야 한다는 것이다.

박기웅 세종대 정보보호학과 교수는 14일 “징벌이라는 채찍만으로는 한계가 있다”며 “모범사례를 발굴해 보안 강화에 기여한 기업에 인센티브나 포상을 주는 선순환 구조가 필요하다”고 강조했다. 이어 “(개인정보보호위원회가 발표한) 과징금 수입의 정보보호 기금 활용 방안도 차질없이 진행해 피해 구제에 실효적으로 쓰거나 모범 기업을 지원하는 방식도 고려할 수 있다”고 덧붙였다.

앞서 개인정보위는 11일 ‘개인정보 안전관리 체계 강화 방안’을 발표했다. 같은 원인으로 반복되는 유출사고에 대해서는 과징금을 가중하고 중장기적으로 징벌적 과징금 도입을 검토하겠다는 것이 골자다. 반대로 선제적 보호조치를 취한 기업에는 과징금을 감경하고 유출 정보가 다크웹 등에서 불법 유통되는지도 탐지해 2차 피해를 차단할 계획이다.

금융위원회도 금융권의 보안 규제를 강화하고 있다. 금융위는 올해 2월 ‘전자금융감독규정’ 일부개정규정안을 의결했다. 금융사의 금융보안 규제를 규칙 중심에서 원칙 중심으로 전환하려는 취지다. 기존 ‘전자금융감독규정’은 세세한 행위규칙 중심이라 “규정만 지키면 면책이 된다”는 소극적 태도를 낳는다는 지적이 제기됐다. 안전성 확보 의무 위반에 따른 과태료를 단순한 규정 준수를 넘어 적극적인 보안 투자를 압박하는 장치로 설계한 셈이다.

국회에서도 관련 논의가 이어지고 있다. 더불어민주당 이훈기 의원은 9일 대규모 개인정보 유출사고를 계기로 전체 매출액의 10% 범위에서 과징금을 부과할 수 있도록 하는 개인정보 보호법 개정안을 대표 발의했다. 위반 행위와 관련된 매출액에 부과되는 과징금 상한도 현행 3%에서 4%로 높이는 내용이 담겼다.

징벌적 과징금에 치우친 정책 설계에 대한 부작용 우려도 있다. 이성엽 고려대 기술법정책센터장은 “과도하게 과징금을 부과하면 특히 중소기업은 보안사고를 은폐하려는 유인이 생길 수 있다”며 “보안 인식 제고라는 장점도 있지만 신고 기피라는 역효과를 줄일 방안이 함께 마련돼야 한다”고 설명했다. 이어 “사후 처벌 강화만으로는 한계가 있고 이미 매출액의 3%까지 과징금 부과가 가능한 상황에서 단순히 ‘부족하다’고만 보는 건 구체성이 떨어진다”고 말했다.

금융권에서도 보안 투자와 인력 현황을 투명하게 공개하고 사후 처벌보다 사전 예방 중심의 제도적 장치를 강화해야 한다고 주장한다. 금융권 관계자는 “SGI서울보증 사태처럼 피해가 즉시 드러나는 경우도 있지만 롯데카드 해킹과 같이 유출된 고객정보가 브로커들 사이에서 거래되다 범죄에 활용되는 경우 피해 추적조차 어렵다”며 “과징금 인상만으로는 이 같은 문제를 막기 힘들다”고 했다.