기업들이 해킹 사고 발생 시 개인정보보호위원회(개보위)만 무서워하고 과학기술정보통신부(과기정통부)와 한국인터넷진흥원(KISA)은 무시하는 행태는 개보위가 최대 매출액 3%에 달하는 과징금을 부과할 수 있기 때문이다. 과징금 부과 시 개보위와 협의, 해명하는 과정을 거치는데 괘씸죄를 물지 않으려는 이중적 태도로 볼 수 있다.
10일 IT업계에 따르면, 최근 개인정보 유출 사건이 발생한 디올은 피해 규모에 따라 최대 313억원의 과징금 부과 가능성이 있다. 이는 디올의 지난해 국내 매출 1조455억원을 기준으로 산정한 결과다.
개인정보보호법은 개인정보 유출·분실·도난 등 사고로 피해가 발생할 경우, 개보위가 피해 규모와 기업 매출액을 고려해 최대 연간 매출의 3%까지 과징금을 부과할 수 있도록 규정한다.
이에 따라 매출 1조5014억원을 기록한 까르띠에는 최대 450억원, 매출 3509억원을 올린 티파니는 최대 105억원의 과징금 부과가 가능하다. 까르띠에의 경우 과징금이 매출의 1%인 150억원으로 확정되더라도, 이는 지난해 개보위가 카카오에 부과한 역대 최대 과징금 151억원에 근접하는 수준이다.
한 대기업 관계자는 “과징금 규모가 매출에 비례하기 때문에 매출이 많은 기업일수록 부담이 크다”며 “최대 3%인 상한선이 있지만, 개보위와의 협의나 해명 과정에서 금액이 크게 달라질 수 있어 개인정보 사고 발생 시 기업은 개보위 대응에 집중하게 된다”고 말했다.
반면 정보통신망법에 따른 과기정통부와 KISA 신고 의무 위반 시에는 과징금 부담이 상대적으로 작다. 위반 시 3000만원 이하의 과태료만 부과되기 때문이다. 그러나 자진 신고 후 이어지는 조사 과정이 기업에 더 큰 부담으로 작용한다.
과기정통부와 KISA는 신고된 침해사고를 바탕으로 사고 원인, 시스템 취약점, 해커 침투 경로 등을 면밀히 분석한다. 이 과정에서 기업의 보안 시스템 미비점이나 추가 법률 위반 사항이 드러날 수 있다. 또 조사 결과가 공개될 경우 여론의 비판과 고객 신뢰 하락으로 이어질 가능성이 높다.
실제로 SK텔레콤은 해킹 사고를 발표한 지난달 22일 이후 이날까지 53만1100명의 고객이 이탈했다. 시정명령은 사업 정지나 보안 비용 증가로 이어질 수 있어, 신고 자체를 회피하게 된다는 게 보안업계 관계자의 설명이다.
개보위와 과기정통부·KISA의 신고 처리 절차는 목적과 범위에서 뚜렷한 차이를 보인다. 개보위는 개인정보보호법에 따라 개인정보 유출 사고에 초점을 맞춘다. 반면, 과기정통부와 KISA는 정보통신망법에 따라 사이버공격 전반을 다룬다. KISA는 신고 접수 후 사고 현장 조사, 로그 분석, 침투 경로 추적 등 기술적 조사를 수행하며, 기업은 상세한 기술 자료를 제출해야 한다. 조사 기간은 사고의 복잡성에 따라 수개월까지 이어질 수 있다.
한 업계 관계자는 “KISA의 조사는 디지털 포렌식과 유사하다”며 “기업 입장에서는 내부 시스템이 샅샅이 드러나는 느낌을 받는다”고 전했다.
전문가들은 기업이 스스로 보안을 강화하고 사고 시 국가 기관과 적극 협력할 수 있는 환경을 조성해야 한다고 강조한다. 미국의 손해배상 제도나 일본의 기업 지원 제도를 참고할 필요가 있다는 의견이다.
박춘식 아주대 사이버보안학과 교수는 “국가가 기업의 사이버보안 한계를 이해하고 지원해 기업이 보안 책임감을 갖도록 해야 한다”며 “제재 중심의 과태료나 조사보다는 일본처럼 사이버보안 지원을 강화하고, 이를 지키지 않을 경우 미국식 대규모 손해배상으로 책임을 묻는 방식이 바람직하다”고 제언했다.
김성현 기자minus1@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
