배경훈 부총리 “해킹 사고에 징벌적 과징금 부과할 것”

정부가 민간 기업의 해킹 지연 신고, 재발 방지 대책 미이행 등에 대해 강도 높은 제재를 예고했다. 과태료는 물론 과징금 상향, 이행강제금 및 징벌적 과징금을 도입해 경각심을 높이겠다는 취지다. 

배경훈 부총리 겸 과학기술정보통신부 장관은 22일 서울정부청사에서 열린 ‘범부처 정보보호 종합대책’ 발표를 통해 “해킹 사고가 반복되는 기업에게는 강력한 징벌적 과징금 부과를 조치하도록 하겠다”며 “해외 사례 및 정책 연구를 통해 적절한 징벌적 과징금에 대한 범위와 강도를 정할 것”이라고 말했다.

이날 배 부총리는 ▲기업의 신고 없이 현장 조사 권한 확대 ▲1600여개 IT 시스템의 보안 점검 추진 ▲재발 방지 대책 실효성 강화 ▲정보보호 산업·인력·기술 육성 ▲범국가적 사이버안보 협력 체계를 강화 등의 방안을 발표했다. 이번 발표는 단기 과제로 올해 안에 중장기 과제를 망라하는 ‘국가 사이버안보 전략’을 추가로 수립할 예정이다.

이중 단연 눈길을 끄는 대목은 징벌적 과징금이다. 구체적 숫자가 나오진 않았지만 배 부총리는 이날 매출의 10%를 과징금으로 부과한 영국의 정보 보호 관련 사례를 꼽았다. 현재 정보보호 관련 과실이 확인될 경우 매출의 3% 수준 과징금을 부과하고 있다.

금융위원회에는 이미 금융사의 정보유출에 따른 손해의 5배를 배상하도록 하는 신용정보법이 시행되고 있지만 여기에 더해 징벌적 과징금 제도를 도입하는 전자금융거래법 개정을 추진하기로 했고 개인정보보호위원회도 전체 매출의 3%를 과징금으로 부과하는 현행 개인정보보호법에 더해 추가적인 징벌적 과징금을 검토하기로 했다. 

배 부총리는 “징벌적 과징금은 패널티를 무조건 주기 위해 어떤 제도를 만들겠다기 보다는 보안에 대한 적극적인 투자를 유치, 유도하려고 하는 것”이라며 “적극적으로 보안에 투자하는 기업들에게는 인센티브를 제공하는 방안을 생각하고 있다”고 설명했다. 

정부가 징벌적 과징금을 꺼내든 것은 최근 통신사를 비롯한 카드사 등의 해킹 사건에서 신고 지연 문제가 수차례 반복됐기 때문이다. 

류제명 과기정통부 2차관은 “사이버 침해 사고를 인지할 경우 자발적인 신고가 가장 바람직하고 그래야만 신속한 대응이 가능하다고 판단하고 있다”며 “목표는 기업들의 지연 신고에 대한 처벌이 목표가 아니라 어떻게 하면 빠른 대처가 가능하도록 할 것인지를 고민하고 있다”고 말했다.

당장 시행되는 것은 공공기관 기반시설 288개, 중앙·지방 행정기관 152개, 금융업 261개, 통신·플랫폼 등 ISMS 인증기업 949개 등 1600여개 IT 시스템에 대한 대대적인 보안 취약점 점검이다. 

이중 최근 이미 해킹 피해가 발생한 통신3사에 대해서는 실제 해킹 방식의 강도 높은 불시 침투 테스트가 진행된다. 과기정통부는 이에 대해 통신3사의 동의서를 받아둔 상황이다. 

다만 이번 ‘범부처 정보보호 종합대책’은 단기적인 대책으로 중장기 대책은 연내 별도로 발표된다. 

배 부총리는 “이번 대책으로 인해서 모든 것을 한 번에 해결한다는 생각을 갖고 있지 않다”며 “지금은 단기적인 어떤 대책을 세웠기 때문에 지금은 빨리 1600여 개의 IT 시스템을 점검하면서 동시에 중장기적인 어떤 계획을 빨리 세워서 사고를 예방하고 사후 처리할 수 있는 종합적인 계획을 검토해 연내 발표할 것”이라고 덧붙였다.