당정이 대규모 개인정보 유출 사고로 1000만 명 이상 고객에게 손해를 입힌 기업에 매출의 최대 10%를 과징금으로 부과하는 법 개정을 추진한다. 현행법상 개인정보 보호 위반 행위의 최대 과징금은 매출의 3%다.
이재명 대통령이 지난 2일 국무회의에서 쿠팡 사태와 관련해 “사고 원인을 조속히 규명하고 엄중히 책임을 물어야 한다”고 주문하자 정부와 여당이 발 빠르게 입법에 나선 것이다. 야당도 찬성하고 있어 개정안은 이르면 연내 국회를 통과할 것으로 전망된다.
9일 정치권에 따르면 국회 정무위원회 소속 박범계 더불어민주당 의원은 이런 내용의 개인정보보호법 개정안을 대표발의했다. 개인정보보호위원회가 정무위 소속 여당 관계자에게 오는 15일 법안심사소위윈회의에 직회부해달라고 요청한 만큼 법 처리가 탄력받을 것이라는 전망이 나온다.
최근 3년간 고의 또는 중대 과실로 위반 행위를 반복한 기업에 전체 매출의 최대 10%를 과징금으로 부과하는 특례 조항을 추가한 것이 개정안의 핵심이다. 사고가 1회에 그치더라도 1000만 명 이상이 피해를 보거나, 시정명령 불이행으로 개인정보를 유출한 경우 등도 최대 10% 과징금 부과 대상이 된다. 3370만 명의 개인정보가 유출된 쿠팡의 지난해 매출 41조원을 기준으로 하면 최대 4조1000억원의 과징금을 부과할 수 있는 셈이다. 법이 개정되면 단체소송 시 손해배상 청구도 할 수 있다. 집단적 피해 구제 수단을 강화하겠다는 취지다.
국민의힘도 법 개정에 긍정적이다. 김상훈 국민의힘 의원은 최대 10% 과징금을 부과하는 내용을 담은 법안을 발의한다. 사전 예방 투자를 늘린 기업에는 인센티브를 제공하고, 개인정보보호책임자(CPO) 임면 조건 등을 강화하는 내용도 담았다. 정무위 관계자는 “여야 안을 병합 심사해 처리할 것”이라고 했다.
플랫폼업계 관계자는 “징벌적 과징금 등 과도한 규제는 기업의 자진 신고를 꺼리게 하는 요인이 될 수 있다”며 “제재와 함께 재발 방지를 위한 지원도 함께 논의해야 한다”고 했다.
겁 줘도 늘어난 산재처럼…"과징금 폭탄만으론 기업 보안력 못 높여"
정부 초강수 제재…기업은 난색, '집안단속'만으론 위험 방지 못해
정부 초강수 제재…기업은 난색, '집안단속'만으론 위험 방지 못해
정부·여당이 개인정보 보호 위반행위에 매기는 과징금을 매출액의 최대 3%에서 10%로 상향하는 초강수를 둔 건 반복되는 개인정보 유출 사고에도 일부 기업이 사고 예방에 충분한 노력을 기울이지 않는다는 판단에서다. 올해 SK텔레콤, 롯데카드, 쿠팡 등 주요 기업의 고객 개인정보가 유출되는 사고가 잇따르자 정치권 안팎에선 제재를 강화해야 한다는 지적이 나왔다. 개인정보보호위원회는 “매출액의 최대 10%(싱가포르)까지 부과하는 외국 사례와 비교했을 때 국내 제재는 ‘솜방망이 처벌’”이라고 보고 있다. 야당인 국민의힘도 중대한 과실을 반복한 기업 또는 1000만 명 이상에게 피해를 끼친 기업에 매출의 최대 10%를 과징금으로 매기는 개인정보보호법 개정안을 내면서 법 처리에 속도가 붙을 전망이다.
◇여야, 과징금 확대 공감
여야가 발의한 법 개정안에 공통적으로 담긴 내용은 ‘반복적·중대한 개인정보 침해 사고에 대한 과징금 도입’에 관한 특례 조항이다. 최근 3년간 고의 또는 중대한 과실로 인해 위반행위를 반복한 경우, 고의 또는 중대한 과실로 대규모(1000만 명 이상) 정보주체에게 피해를 초래한 경우, 시정명령 불이행으로 개인정보를 유출한 경우 등을 징벌적 과징금 부과 대상으로 정했다.박범계 더불어민주당 의원이 대표발의한 안은 기업이 정부에 신고해야 하는 ‘사고 통지 범위’를 분실·도난 유출에서 위조·변조·훼손까지 확대했다. 또 유출 가능성 있는 경우에도 통지 의무가 있다는 조항을 신설했다. 단체 소송시 기업에 손해배상도 청구할 수 있게 된다.
국민의힘이 발의할 예정인 법 개정안은 큰 틀에서 민주당안과 비슷하다. 개인정보 보호에 적극적으로 투자하는 기업에 대한 인센티브(과징금 감경)를 도입하고, 개인정보보호책임자(CPO) 임면 조건 등을 강화하는 내용이 주된 차이점이다.
◇업계 “보상도 함께 줘야”
업계에선 징벌 위주 대책만으로는 실효성을 거두기 어렵다는 지적이 나온다. 대형 플랫폼 업체 관계자는 “과징금 규모도 문제지만, 이후 발생할 집단소송 등의 후폭풍을 감안하면 사실상 기업의 존폐가 달린 문제”라며 “이를 막기 위해선 구글 등 빅테크처럼 천문학적인 규모의 투자를 보안에 쏟아부어야 한다”고 호소했다.통신·플랫폼 등 개인정보를 보유한 기업들이 가장 우려하는 것은 ‘100% 방어’가 불가능하다는 점이다. 통신업계 관계자는 “일단 내부 단속에 최선을 다한다고 해도 외부 해킹을 통한 개인정보 유출이 과징금 부과 대상에 해당하는지 불분명하다”며 “만일 외부 해킹에 의한 피해까지 과징금 대상에 포함된다면 기업들이 실제 보안 투자를 얼마나 할 수 있을지 의문”이라고 지적했다. 해커는 한 곳만 뚫으면 되지만, 방어하는 기업은 모든 방면의 위협을 100% 방어해야 하기 때문에 사실상 통제가 불가능하다는 얘기다.
전문가들은 징벌에만 초점을 맞추면 산업 현장의 재해와 비슷한 결과로 이어질 수 있다고 우려한다. 최근 이재명 대통령은 잇따른 산재 사고와 관련해 “겁주고 수사해도 산재가 안 준다”며 답답함을 토로했다. 업계 관계자는 “지나치게 과도한 규제는 기업의 자진 신고를 꺼리게 하는 요인이 될 수 있다”며 “정보 유출에 대한 제재와 함께 재발 방지를 위한 인센티브 등 지원책도 정부 차원에서 함께 논의할 필요가 있다”고 강조했다. 유출 방지를 위해 노력한 기업에 인센티브를 주는 제도도 필요하다는 얘기다.
일각에선 정부의 징벌 일변도 정책이 팰로앨토 등 미국 빅테크에 대한 의존만 높일 것이란 지적도 나온다. 국내 보안기업들의 규모가 영세한 데다 전문 인력을 구하는 데도 난항을 겪고 있어서다. 지난해 과학기술정보통신부가 실시한 정보보호 실태조사에 따르면 국내 정보보안 관련 기업 중 증권시장에 상장된 곳은 28곳에 불과하다. 이 중 매출 1000억원을 넘는 기업은 4곳뿐이다.
최해련/정소람/최지희 기자 haeryon@hankyung.com
관련뉴스
