과징금 상향·징벌적 제재 강화
이번 대책에서 정부가 가장 공을 들인 부분은 제재 강화다. 배경훈 부총리 겸 과학기술정보통신부 장관은 22일 오후 서울 종로구 정부서울청사에서 열린 '범부처 정보보호 종합대책' 관련 브리핑에서 "개인정보보호법상 과징금 기준인 전체 매출의 3%를 정보통신망법에도 적용하는 방안을 검토하고 있다"며 "영국 등 해외 사례를 참고해 징벌적 과징금의 범위와 강도를 정해 나가겠다"고 말했다. 영국은 정보보호 관련 문제가 발생 시 관련 매출의 10%를 과징금으로 매긴다.금융위원회와 개인정보보호위원회도 징벌적 과징금 도입에 속도를 내고 있다. 금융위는 전자금융거래법 개정안을 조만간 발의해 이번 정기국회에서 논의하겠다는 방침이다. 현행법상 과징금은 매출 3% 또는 50억원 중 큰 금액으로 정해지는 데 이를 전반적으로 높이겠다는 의도다. 개인정보위도 과징금 기준 상향을 고려 중이다. 이정렬 개인정보위 사무처장은 "현행 과징금으로는 부족하다는 국민 의견과 우려가 있다"며 "피해 규모에 비례해 가중 처벌하는 방안을 검토하고 있다"고 말했다.
다만 대책에서 기업이 보안에 자발적으로 투자하도록 유도하는 인센티브는 찾아보기 어렵다는 지적이 나온다. 정부는 대책이 다양한 산업군에서 대형 해킹 사고가 연달아 터지는 상황에 대응하기 위한 단기적 성격이 강한 만큼 향후 발표될 중장기 전략에서 인센티브 방안을 보강할 방침이다. 배 부총리는 "징벌적 과징금은 페널티보다 보안에 적극적인 투자를 유도하려는 목적"이라며 "투자를 확대하는 기업에는 인센티브를 제공할 계획"이라고 설명했다.
기업들은 보안을 비용이 아닌 투자로 전환해야 한다는 정부 의도에 공감하면서도 제재만으로는 실질적인 투자에 나서기 어렵다는 반응을 보인다. 한 정보기술(IT)업계 관계자는 "기업이 자체적으로 보안 역량을 강화하고 이를 이해관계자에게 알려야 한다는 점에 대해서는 이견이 없지만 실질적인 보안 투자를 확대하기 위해서는 지원책도 필요하다"며 "과징금을 아무리 높여도 투자 여력이 없으면 소용없다"고 말했다.
특히 중소기업의 경우 보안 투자 여력 자체가 부족한 상황이다. 정부는 자체 보안 역량이 부족한 중소·영세기업에는 현재 10개소인 정보보호 지원센터를 16개소로 늘려 지원을 강화한다는 방침이다.
뒤늦은 '당근' 약속…자진신고엔 감경 검토
과징금 감경 제도를 더욱 유연하게 적용하는 방안도 고려한다. 류제명 과기정통부 2차관은 "개인정보보호법상 과징금을 산정할 때 기업이 정상적으로 유출 사고를 신고하면 참작하는 방안이 있다"며 "기업이 자발적인 신고를 하지 않았다고 처벌하기보다, 했을 때 그것을 참작해 주는 등 다양한 방안을 검토하겠다"고 말했다.
개인정보위 역시 처벌 강화에 더해 감경 제도를 함께 들여다볼 방침이다. 이 사무처장은 "징벌적 과징금이란 기업이 고의로 자료를 은폐하거나 법을 반복적으로 위반하거나 과실이 클 때 가중하는 것"이라며 "조사에 협조하거나 개인정보 보호에 노력한 경우 현재도 감경 제도가 있지만 이를 더 확대하고 법적 근거를 명확히 해 향후 대책 발표에 포함될 계획"이라고 밝혔다.
'">
'">
'">
'">
'">
