해킹시 고객정보 유출 의무위반으로도 처벌된다

[이데일리 김상윤 기자] 앞으로 해킹 등 보안사고로 개인정보가 대량 누출된 기업은 법에서 요구하는 기술적 관리적 보호조치를 하지 않았을 경우 무조건 과징금을 물게 될 전망이다. 잇단 개인정보 유출 사태가 벌어져도 솜방망이 처벌에 그쳐 실효성이 떨어진다는 지적에 따라 제재를 한층 강화한 셈이다.

방송통신위원회는 20일 전체회의를 열고 개인정보 유출 사고를 일으킨 기업에 대한 처벌을 강화하는 내용을 담은 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’을 일부 개정하는 방안을 보고했다.

현행법은 개인정보 유출 사고가 발생할 경우 기업이 ‘보호조치 의무’를 위반한 정황이 드러날 경우 3000만 원 이하의 과태료를 부과하고 있다. 기업이 해야할 보호조치는 웹사이트 접근기록 저장, 개인정보 입력 시 암호화, 백신프로그램 설치, 방화벽 구축 등이다. 특히 보호조치 의무 위반이 직접적으로 개인정보 유출 사고로 이어질 경우 1억 원 이하의 과징금을 부과할 수 있다.

하지만 이 같은 제재 수준은 개인정보 유출에 따른 사회적 피해에 비해 경미하고, 특히 기업이 보호조치 의무를 위반한 것으로 드러나더라도 이로 인해 해킹이 이뤄졌는지 명확하게 인과관계를 따지기 어려워 처벌 조항이 유명무실하다는 지적이 꾸준히 제기돼 왔다.

이런 이유로 방통위가 과거 넥슨, EBS, KT 등 기업에서 대규모로 이용자 정보가 누출하더라도 과징금 부과 결정을 법원의 최종 판결이 날 때까지 연기하는 상황이 발생하기도 했다.

따라서 이번 개정안에 포함된 ‘보호조치 위반과 개인정보 누출 등 침해사고와 인과관계 입증 없이 과징금 부과가 가능하다’는 조항은 기존보다 강력한 처벌을 내릴 수 있는 근거가 된다.

방통위는 특히 과징금 처분 수준도 한층 강화한다는 방침이다. ‘1억 원 이하’로 규정된 정액 과징금을 ‘관련 매출액의 1% 이하’의 정률 과징금으로 변경해 기업 규모에 따라 과징금 상한선이 높아진다.

또 이용자의 정보를 유출한 사업자에 업무정지 명령을 내릴 수 있는 조항에 ‘과징금으로 갈음할 수 있다’는 규정도 신설했다. 이는 서비스가 중단돼 이용자가 불편을 겪을 수 있다는 점을 고려한 조치다.

이에 따라 기업들 입장에서는 보안 조치 관련 투자를 좀 더 확대해야 하는 상황에 처했다. 정보통신업계 한 관계자는 “이번 법안이 개정될 경우 기업 입장에서는 보안 처리를 철저하게 하지 않을 경우 경우 상당 규모의 과징금 처분을 받을 수밖에 없다”면서 “기업 입장에서는 부담이 돼 기업활동이 위축될 우려가 있을지라도 정보 유출에 대한 경각심을 줄 수 있다는 점에서 의의가 있다”고 설명했다.

한편 방통위는 이번 법 일부개정안에 대해 관계부처 협의와 입법예고를 거쳐 내년 1월 위원회 전체회의에 상정할 예정이다. 이후 의결되면 국회에 제출할 전망이다.