[사설] 정보침해사고시 망할 수 있다는 인식 가져야

지난해 온 나라를 떠들썩하게 했던 연이은 정보 침해사고에 대한 법률적인 제재 수위가 확정돼 나왔다. 아직 소관 기관에 따라 최종 심의가 남아있는 것도 있지만, 법적으로는 한층 강화된 처벌을 피할 수 없게 됐다.

정부는 침해사고 유발시 매출액의 최대 10%까지 과징금을 물릴 수 있도록 한 개인정보보호법을 개정한데 이어 24일 국무회의에서 침해사고 반복 기업에 대한 과징금을 신설하는 내용을 골자로 한 정보통신망법 개정안도 의결, 공포했다.

이날 공포된 뒤 6개월 뒤인 9월부터는 현재 기준과는 확연히 다른 처벌을 받게 된다. 특히, 고의 또는 중과실로 인해 5년 동안 거푸 침해사고를 유발할 경우, 매출액의 3% 이하 과징금을 부과받게 된다. 지금까지는 신고 지연 등 고의성을 가진 절차 위반시에 받는 제재 수준이다.

먼저, 개정된 개인정보보호법에 따라 반복적이거나 중대한 개인정보 침해의 경우 매출액의 최대 10%까지 과징금이 매겨지는 것을 감안한다면 기존보다는 상상할 수 있는 '가중처벌'인 셈이다. 저촉되는 법은 2개지만, 과징금은 따로따로 별도 매겨지는 점도 중요 변화다.

개정 정보통신망법은 침해사고 발생 사고 후 정부의 재발 방지 대책 권고 사항을 따르지 않거나 불성실하게 이행한 기업에 대한 이행강제금 조항도 신설했다. 이행 기한으로 제시한 날부터 1일 단위로 누적부고되기 때문에 강제력은 한층 높아질 것으로 보인다.

기업 정보보호 투자나 관련 예산 집행 투명성, 이사회의 책임성 강화를 위한 조항도 분명해졌다. 상법 개정 등 여러 기업 경영 관련 법·제도 개정 작업과 맞물려 이사회에 대한 정보보호 보고 책임을 둔 것은 바람직한 조치로 읽힌다.

정부가 기업 준비 정도가 아직은 취약하고 파급력은 큰 정보보호인증 체계 시행 등은 1년 이상의 준비기간을 설정한 것도 업계 수용성 측면에선 옳은 선택으로 보인다.

그간 여러 사고가 입증하듯 백가지 대책이 중요치 않다. 정보 관련 수집·활용·관리 주체의 기업의 인식이 바뀌지 않으면 안된다.

이번 정부의 사회적 불안·개인 피해를 일으키는 사안에 대한 대응 키워드는 '패가망신'으로 나와있다. 가중처벌이 무서운 게 아니라 단 한번의 정보 침해사고 유발로도 해당 기업은 망할 수 있다는 인식을 확고히 갖는 것이 무엇보다 중요하다.

필요한 정보보호 투자와 예방을 적극적으로 취한 기업이 정보보호 우수 기업으로 대접 받는 소비자·사용자 인식 확산도 중요하다.

editorial@etnews.com