개인정보 유출사고에 대한 징벌적 과징금 확대 등 사후 처벌 강화가 보안 경각심을 높일 수는 있지만, 자칫 처벌 회피에만 치중한 방어적 경영을 고착화할 수 있다는 우려도 적지 않다. 국내 보안 생태계 강화라는 정책 목표 달성을 위해서는 하위법령에 명확하고 일관된 처벌·감경 기준을 명시하는 등 보다 정교한 제도 설계가 필요하다는 지적이다.
개정 개인정보보호법에서는 과징금 상한이 매출액의 3%에서 10%로 상향된다.
위반행위 중대성에 따라 감경 적용이 엄격해지고 산정기준도 강화됐다. 이는 글로벌 주요국과 비교해 매우 높은 수준의 규제다.
유럽연합(EU) 개인정보보호규정(GDPR)은 위반성격에 따라 과징금 상한이 다른 이원화 체계를 갖췄다. 단순 내부 관리의무 위반일 경우 매출액의 최대 2%, 실질적 권리침해 발생시는 4%다. 중국 역시 전년도 영업액의 5%를 상한으로 두고 있다.
매출 연동형 과징금은 법적으로 강력한 규제 수단이다. 그만큼 헌법상 명확성의 원칙이 중요하게 작용한다. 징벌적 제재 핵심 요건인 고의·중과실 등 중대성 판단 기준이 모호할 경우 제도 자체가 법적 다툼 대상이 될 수 있다.
현행 과징금 산정 체계는 위반행위 정도를 약한·보통·중대한·매우 중대한 등으로 구분해 행정청의 주관적 해석 여지를 남겨두고 있다. 반면 전자금융거래법과 여신전문금융업법은 고의·중과실을 '접근매체 대여', '비밀번호 누설' 등으로 구체화했다. 대법원 판례 역시 중과실을 '거의 고의에 가까운 현저한 주의를 결여한 상태'로 엄격히 해석하는 만큼 행정처분 기준 역시 이에 발맞춰 정교하게 다듬어야 한다는 의견이 제시된다.
업계 관계자는 “정보보호 규제 역시 하위 법령을 통해 위반행위를 유형별로 구체화할 필요가 있다”면서 “어느 수준의 보안관리 체계를 갖춰야 중과실을 면할 수 있는지 세밀한 기준을 확립해 기업의 예측 가능성을 제고해야 한다”고 말했다.
처벌을 넘어 실질적 보안 강화를 이끌어낼 '당근책'도 마련해야 한다. 과징금 감경 등 인센티브 관련 구체적 지표를 시행령에 명문화해야 한다는 의견이다. 특히 단순 유출 결과보다는 보안투자 수준, 사고 대응 노력, 피해 최소화 조치 등을 과징금 산정에 적극 반영할 필요가 있다.
해외 규제 당국은 이미 단순한 해킹 결과보다는 사고 전후 조치와 기업의 대응 노력 등 과정을 적극 반영하는 추세다. 영국 정보위원회(ICO)는 브리티시 에어웨이즈 정보유출 사건에서 기업의 사후 대응 노력과 보안 개선 조치를 반영해 과징금을 당초 예고한 1억8339만파운드에서 2000만파운드로 90% 대폭 감경한 바 있다.
국내 기업도 보안 강화를 위한 투자 재원을 늘리고 있다. 지난해 통신 3사의 정보보호투자액은 처음으로 3000억원을 넘어섰다. 올해는 4000억원에 육박할 전망이다. 향후 5년간 예정된 투자 규모만 2조4000억원에 이른다. 정보유출 사고를 겪은 SK텔레콤과 KT는 이와 별도로 5000억원 상당의 고객 보상안도 집행했다.
법조계 관계자는 “징벌적 제재의 억지력을 살리려면 자발적 피해자 구제 조치와 사후 보안 투자 확약에 상응하는 만큼 과징금 감경이 가능한 구조를 제도화 해야한다”고 말했다.
박준호 기자 junho@etnews.com
