정보보안 업계 "기업 의무만 강조할 게 아니라 공격자 처벌수위도 높여야"

정부가 개인정보보호법·정보통신망법 개정 등을 통해 기업들의 정보보안 의무를 강화하고 있는 가운데 정보보호 산업계는 공격자에 대한 강력한 처벌 등 보완책이 필요하다고 제언했다.

과학기술정보통신부와 개인정보보호위원회는 9일 서울 가산동 파이오링크에서 '개인정보·정보보호 산업 발전을 위한 현장 간담회'를 개최했다.

이날 간담회에는 송경희 개인정보위원장과 김진수 한국정보보호산업협회장을 비롯해 SK쉴더스, 라온시큐어, 에스투더블유 등 국내 보안 기업 관계자들이 참석했다.

참석자들은 정부가 주도하고 있는 선제적 정보보호 강화 체계를 긍정적으로 평가하면서도 현장의 애로사항을 해소하고 범죄 억제력을 높이기 위한 보완책 마련을 촉구했다.

특히 해킹 사고의 근본 원인인 '공격자'에 대한 처벌을 강화해야 한다는 데 업계의 의견이 모였다.

서상덕 에스투더블유 대표는 "개정된 법안은 기업의 정보보호 투자와 예방을 유도하는 데 초점이 맞춰져 있지만, 정작 범죄를 저지르는 해커에 대한 얘기가 빠졌다"며 "이들이 끼친 피해가 기업에 부과되는 과징금 이상인 만큼 상징적으로라도 처벌 수위를 대폭 높여 범죄 의도 자체를 꺾어야 한다"고 강조했다.

개인정보의 범위가 명확하게 제시돼야 한다는 의견도 나왔다. 이강건 블루문소프트 대표는 "최근 쇼핑몰 구매 내역 등 과거에는 크게 신경 쓰지 않았던 데이터들까지 개인정보 보호 범위에 포함되고 있다"며 "개별 기업이 일일이 대응하기 어려운 만큼 정부가 새롭게 편입되는 개인정보의 기준과 식별 알고리즘 등을 광범위하게 정리해 가이드라인으로 제공하면 혼란을 막을 수 있을 것"이라고 설명했다.

정부 측은 이 같은 업계의 목소리를 충분히 수용하겠다는 의지를 밝혔다. 공격자 처벌은 과기정통부와 유관기관 인력에 직접 수사권을 부여하는 특별사법경찰 제도를 통해 강화하고, 침해사고조사위원회를 조기 출범시켜 선제적이고 심층적인 사고 조사 체계를 가동하겠다고 답했다.

송 위원장은 "모든 기업을 일률적으로 규제하기보다는 위험성에 비례한 원칙 중심의 접근을 채택하고 있다"며 "올해 하반기 AI 에이전트 가이드라인을 마련해 시장의 불확실성을 해소하고, 중소기업을 위한 점검 및 지원을 확대해 보안 사각지대를 줄여 나가겠다"고 말했다.

김남석 기자 kns@dt.co.kr

송경희(가운데) 개인정보보호위원장이 9일 서울 가산동 파이오링크에서 열린 정보보호 산업 발전 현장 간담회에서 참석자들과 파이팅을 외치고 있다. 개인정보보호위원회 제공