인더뉴스 이종현 기자ㅣ잇따른 대규모 사이버 해킹 사고로 사회적 불안이 확산되는 가운데 유출기업에 대한 제재 강화보다는 재발 방지에 초점을 둔 개인정보보호법 운영의 전환이 필요하다는 의견이 제시됐습니다.

21일 웨스틴 조선호텔에서 한국데이터법정책학회 주최로 열린 '해킹 및 개인정보 유출 등 정보보호법의 이슈와 과제' 세미나에 참석한 고려대학교 법학전문대학원 박종수 교수는 "기업은 개인정보 보호의무를 지는 동시에 고도화된 해킹의 피해자라는 이중적 지위에 있다"라고 밝혔습니다.

이에 대해 박 교수는 "과징금 중심의 처벌보다는 비례성 원칙과 재발방지 대책을 핵심으로 하는 제재 운영이 필요하다"라고 강조했습니다.

현행 개인정보보호법은 유출 사고 발생 시 통지·신고 의무, 손해배상책임, 매출액의 최대 3%에 해당하는 과징금 부과 등을 규정하고 있습니다. 그러나 대법원과 헌법재판소는 일관되게 ▲사고 당시 보안 수준 ▲안전성 확보 노력 ▲피해 규모와 회복 조치 등을 종합적으로 고려해야 한다는 입장을 밝혀왔습니다. 단순히 결과만으로 과도한 제재를 가하는 것은 재량권 남용에 해당할 수 있다는 것입니다.

이에 대해 과도한 제재는 기업과 정부 간 협력과 정보 공유를 위축시켜 오히려 국가 차원의 보안 대응력을 떨어뜨릴 수 있다는 우려는 꾸준히 제기되고 있습니다.

개인정보보호위원회가 컨트롤타워 역할을 제대로 수행하기 위해서는 사후 처벌보다 민관 협력과 사전 예방 중심 체계를 강화하는 것이 필요하다고 박 교수는 짚었습니다.

해외 역시 유사한 흐름입니다. 영국은 유출 사실의 신속 보고 및 보완 조치에 따라 과징금을 최대 90%까지 감경해 주고 있습니다.

미국 역시 금전적 제재 대신 보안 프로그램 구축, 데이터 최소화, 외부 평가 의무화 등 명령을 통해 보안 인프라 강화에 초점을 맞추고 있으며 일본과 호주도 재발방지 조치 의무를 부과하고 신속·적절한 대응 시 과징금을 면제해 주는 등 재발 방지에 중점을 둔 법 집행을 추진하고 있습니다.

박 교수는 "데이터가 경제 성장의 핵심 자원이 된 지금, 개인정보 보호는 제재 강화만으로 달성될 수 없다"라며 "국민 신뢰 확보를 위해 비례적이고 합리적인 제재와 함께 지속 가능한 보안 강화 체계로 나아가야 한다"고 말했습니다.