“과징금 중심 규제 일변도 정보 유출 사고 재발 방지에 역효과…예방 위주 제도 개선 마련해야”

한국데이터법정책학회 ‘해킹·개인정보 유출’ 세미나

SK텔레콤·GS리테일·모두투어 등 대규모 사이버 해킹으로 인한 정보 유출 사고가 잇따라 발생하고 있지만, 현행 규제 일변도 정책만으로는 재발 방지 효과를 담보할 수 없다는 전문가 제언이 나왔다.

21일 한국데이터법정책학회 주최로 서울 중구 웨스틴조선에서 열린 ‘해킹 및 개인정보 유출 등 정보보호법의 이슈와 과제’ 세미나(사진)에서 발표를 맡은 박종수 고려대 법학전문대학원 교수는 “기업은 고도화된 해킹의 피해자이자 동시에 개인정보 관리 의무를 지는 주체”라며 “사고 원인과 보안 노력은 고려하지 않고, 결과만을 기준으로 제재하는 것은 법적 안정성을 훼손한다”고 지적했다. 박 교수는 이어 “매출액 비율로 산정되는 과징금은 단기 충격 효과는 있다”면서도 “장기 예방책으로는 한계가 있다”고 강조했다.

현행 개인정보보호법에 따라 위반 기업에는 과징금을 비롯해 형사처벌·손해배상 책임까지 중첩적으로 부과할 수 있다. 그러나 헌법재판소와 대법원은 과징금 부과 시 △사고 당시 보안 수준 △사전 예방 노력 △사후 피해 회복 조치 등을 종합적으로 고려해야 한다는 입장을 제시한 바 있다. 피해 규모만으로 산정되는 구조는 위헌·위법 논란 소지가 크다는 판단이 작용했다.

규제 일변도가 되레 기업의 보안 투자 및 침해 사고 신고를 위축할 수 있다는 지적도 나왔다. 한국정보보호산업협회에 따르면, 지난해 정보 침해사고를 경험한 기업 중 관련 기관에 신고한 비율은 19.6%에 그쳤다. 세미나 개회사를 맡은 이성엽 한국데이터법정책학회 회장은 “최근 급증하는 해킹과 유출 사고는 기술적 과제와 법적 과제가 동시에 얽힌 문제”라며 “결과 처벌만으로는 대응에 한계가 있으며, 예방 중심 제도 개선이 필요하다”고 말했다.

김성훈 기자