매출 3% 과징금에 형사처벌·손해배상 중첩 부과 과도“합리적 제재와 재발방지 대책 마련에 집중해야”
  • ▲ ⓒ한국데이터법정책학회
    ▲ ⓒ한국데이터법정책학회
    대규모 사이버 해킹 사고 대처 방안으로 유출 기업에 대한 제재 강화보다는 재발 방지에 초점을 둔 개인정보보호법 운영이 필요하다는 주장이 제기됐다.

    21일 웨스틴조선호텔에서 한국데이터법정책학회 주최로 열린 ‘해킹과 개인정보 유출 등 정보보호법의 이슈와 과제’ 세미나에서 박종수 고려대 법학전문대학원 교수는 “기업은 고도화된 해킹 피해자이자 동시에 개인정보 관리 의무를 지는 주체”라며 “사고 원인과 보안 노력은 고려하지 않고 결과만을 기준으로 제재하는 것은 법적 안정성을 훼손한다”고 말했다.

    현행 개인정보보호법은 유출 사고 발생 시 매출액의 최대 3%에 해당하는 과징금 부과 등을 규정하고 있고 형사처벌과 손해배상 책임을 중첩 부과할 수 있다. 박 교수는 “매출액 비율로 산정되는 과징금은 단기 충격 효과는 있지만 장기 예방책으로는 한계가 있다”고 덧붙였다.

    처벌이 가중되는 부분에 대해 헌법재판소와 대법원은 과징금 부과 시 ▲사고 당시 보안 수준 ▲사전 예방 노력 ▲사후 피해 회복 조치 등을 종합적으로 고려해야 한다는 입장을 제시한 바 있다. 피해 규모만으로 산정되는 구조는 기업의 보안 투자와 침해사고 신고를 위축시킬 수 있다는 지적이다. 한국정보보호산업협회(KISIA)에 따르면 지난해 정보 침해사고를 경험한 기업 중 관련 기관에 신고한 비율은 19.6%에 불과한 것으로 나타났다.

    이성엽 한국데이터법정책학회 회장은 “최근 급증하는 해킹과 유출 사고는 기술적 과제와 법적 과제가 동시에 얽힌 문제”라며 “결과 처벌만으로는 대응에 한계가 있으며 예방 중심 제도 개선이 필요하다”고 설명했다.

    해외 사례도 과징금보다는 재발 방지책 마련에 초점이 맞춰졌다. 미국은 대규모 유출 시 보안 투자와 재발 방지책 마련을 의무화하며, 영국은 사고 후 적절한 후속 조치를 이행한 기업에 대해 과징금을 최대 80~90%까지 감경한 사례가 있다. 일본과 호주 역시 제재보다는 보안 활동 의무화와 개선책 이행 여부에 방점을 뒀다.

    박 교수는 “데이터가 경제 성장의 핵심 자원이 되면서 개인정보 보호는 제재 강화만으로 달성될 수 없다”며 “국민 신뢰 확보를 위해 비례적이고 합리적인 제재와 함께 지속 가능한 보안 강화 체계로 나아가야 한다”고 역설했다.