해킹 자진신고 기업엔 제재 감면…피해자엔 '원스톱 구제 창구' 제공해야[only이데일리]

[글=최경진 가천대 교수(전 개인정보보호법학회장), 정리=이데일리 권하영 기자] 그동안 우리 사회는 대형 보안 사고가 터질 때마다 여론에 떠밀려 개인정보보호 규제를 강화하는 방식으로 대응해 왔다.

그러나 규제 강도를 높인다고 사고가 사라지는 것은 아니다. AI와 디지털 대전환 시대에는 공격이 고도화되는 만큼 사고를 100% 예방하겠다는 목표 자체가 현실과 거리가 있다.

이제 개인정보 규제의 초점을 ‘처벌’에서 ‘회복탄력성’으로 옮겨, 사고 이후의 신속한 대응과 피해 최소화, 재발 방지까지 포함하는 체계로 재설계할 때다.

이러한 패러다임 전환의 성패는 단순히 기술적인 방화벽을 높이는 차원을 넘어, 디지털 회복탄력성에 초점을 둔 ‘사전 예방-신속 대응-재발 방지’로 이어지는 유기적인 ‘통합법제’를 얼마나 촘촘하게 마련하느냐에 달려 있다. 사고가 발생할 때마다 규제만 강화되는 단기적 대응 패턴에서 벗어나 중장기적인 시각에서 합리적이고 실효적인 개인정보 규제 체계를 정비해야 하는 것이다.

개인정보보호 통합법제 방향(그래픽=이미나 기자)

사고 예방의 출발은 ‘평범한 원칙’

통합법제의 첫 단추는 견고한 사전 예방에서 시작된다. 최근 발생한 대형 사고들의 면면을 보면, 화려한 해킹 기술에 당했다기보다는 재물 관리, 인사 관리, 관리자 계정 및 암호키 관리 같은 보안의 가장 기초적인 영역이 무너져 발생한 경우가 대부분이다. 보안은 늘 새로운 취약점과의 싸움이지만, 기본이 단단하다면 작은 틈이 대형 사고로 확장되는 비극을 막을 수 있다.

결국 자산 목록과 데이터 흐름을 정확히 파악하고, 권한을 최소화하며, 로그를 남기고 점검하는 것과 같은 평범한 원칙을 현장에서 끝까지 지키는 것이 가장 강력한 보호책이다. 이를 법적으로 뒷받침하기 위해 정부의 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증은 실질적인 준수 활동을 증명하는 방향으로 개선돼야 한다. 아울러 최고경영자(CEO)의 책임을 명확히 하되, 개인정보보호책임자(CPO)에게 실질적인 권한과 힘을 실어주는 거버넌스 개편이 병행돼야 ‘개인정보보호의 일상화’가 가능해진다.

‘신고 보상’과 ‘원스톱 창구’가 핵심

아무리 철저한 예방 체계를 갖추더라도 예상치 못한 사고는 발생하기 마련이다. 이때 중요한 것이 바로 신속한 대응을 통한 2차 피해의 차단이다. 과학적 접근 방법을 기반으로 2차 피해를 방지하기 위한 조치를 확정하고, 이를 신속하게 정보주체에게 알리는 초동 대응 체계를 공고히 하는 것이 무엇보다 중요하다. 하지만 현재 많은 기업은 사고 사실을 알리는 것을 ‘잘못을 시인하는 행위’라고 생각해 은폐하거나 소극적으로 대처하는 경향을 보인다. 이러한 부정적 인식을 타파하려면 사고를 투명하게 신고하고 대응한 기업에 확실한 인센티브를 제공하는 ‘신고 보상’ 중심의 제도 혁신이 필요하다.

기업의 시스템적 대응만큼이나 국민 개개인의 권리 회복을 위한 장치도 시급하다. 정보주체가 한곳에서 침해 사실을 확인하고 필요한 행정 조치를 일괄 해결할 수 있는 ‘원스톱 피해구제 창구’가 그 대안이다. 예컨대 주민등록번호나 이름 변경 같은 중대 행정 조치부터, 아이디·비밀번호 변경 안내, 웹사이트 탈퇴 조치 지원, 2단계 인증 활성화 설정 등 부가적인 보호 조치까지 일괄적으로 해결할 수 있는 창구와 절차가 필요하다. 정부는 이를 뒷받침하기 위한 전담 인력과 예산 그리고 법적 제도를 시급히 마련해야 한다.

배경훈 부총리 겸 과학기술정보통신부 장관이 10월 22일 서울 종로구 정부서울청사에서 열린 합동브리핑에서 범부처 정보보호 종합대책을 발표하고 있다. 사진=연합뉴스

징벌을 넘어 실질적 재발 방지로

사고의 마무리 단계인 재발 방지와 사법 처리 과정에서도 중심은 ‘실질적 권리 구제’가 돼야 한다. 정보주체가 입은 손해를 충분히 보전하기 위해 법정손해배상액에 하한선을 두거나, 집단분쟁조정·단체소송 제도를 촘촘히 손질해 국민의 입증 부담을 낮출 필요가 있다.

정부가 반복적·중대한 위반에 대한 과징금 상한을 전체 매출의 10%까지 올리는 방안을 검토 중이지만, 그와 별개로 현행 제도 안에서도 실효성을 높일 여지는 있다. 하위법령이나 과징금 산정 기준을 손봐 고의 또는 중대한 과실이 확인된 경우 감경을 엄격히 제한하면, 징벌 효과와 예방 유인을 강화할 수 있다.

다만 사후 처벌을 과징금 부과로만 밀어붙이는 경직된 방식에서는 벗어나야 한다. 현행 구조에서 과징금은 전액 국고로 귀속되고, 피해자인 국민은 별도의 소송 없이는 배상을 받기 어려운 경우가 많다. 기업이 실효성 있는 피해 구제안과 보안 개선책을 제시하면 규제 당국이 그 적정성을 심사해 사건을 종결하는 ‘동의의결제’는 현실적인 대안이 될 수 있다. 기업에는 자발적 보상과 시스템 고도화를 유도하고, 국민에게는 긴 소송 없이 신속한 회복을 제공한다는 점에서 합리적이다.

개인정보 유출은 이제 누구에게나 닥칠 수 있는 현실적 위협이다. ‘개인정보는 공공재’라는 자조에 머물 단계는 지났다. 사회 구성원 모두가 개인정보 감수성을 일상의 기본값으로 받아들이고, 국가는 이를 통합 법·제도로 뒷받침해야 한다. 사고를 100% 막기 어려운 시대라면, 넘어져도 빠르게 회복할 수 있는 ‘회복탄력성’을 갖추는 것이 가장 절박한 과제다.