기업들, 정부 가이드라인 따르면
해킹 발생 때 책임서 자유로운편
美는 사고 나면 기업에 손해배상
페이스북은 2018년 악몽 같은 한 해를 보냈다. 그해 3월과 10월 각각 약 8700만 명, 5000만 명에 달하는 개인정보가 유출됐다는 혐의를 받았기 때문이다. 이후 페이스북은 미국에서 민간으로부터 개별 소송을, 정부로부터는 ‘징벌적 손해배상’ 고소를 당했다. 혹독한 대가를 치른 페이스북은 개인정보 보호를 강화한 새로운 앱과 암호화한 데스크톱 메신저 서비스 등 프라이버시 강화 대책을 내놨다.
미국과 유럽은 이처럼 정보 유출 등 보안사고가 발생했을 때 해당 기업이 책임지게 하는 사후규제 방식을 채택하고 있다. 업체에 자율성을 부여하되, 잘못된 일이 일어나면 엄중한 책임을 묻는 ‘네거티브 규제’다. 사고가 발생하면 기업은 소비자에게 피해를 선제적으로 보상해야 한다. 이후 정부가 자체 조사에 나서 해당 기업이 정보 보호 조치를 충분히 취하지 않았다는 사실을 확인하면 징벌적 손해배상제도로 과징금까지 부과한다.
반면 한국의 정보 보호 정책은 ‘포지티브 규제’에 가깝다. 정부가 가이드라인을 제시하고, 기업은 이를 충족해야 사업을 영위할 수 있는 방식이다. 수많은 금융회사의 인터넷뱅킹 시스템이 하나같이 인증 방식으로 공인인증서를 채택하고, 같은 보안 프로그램을 사용하는 게 단적인 예다.
문제는 이 같은 제도에 허점이 많다는 것이다. 해킹사고가 발생해도 정부가 마련한 가이드라인을 충족한 기업에 책임을 물을 소지가 작아지기 때문이다. 보안사고 신고 의무제, 사고 책임자 재취업 금지 규정 등 기존 사후 정보 보호 정책을 두고 현장에서 “유명무실하다”는 평가가 나오는 것도 이 때문이다.
정부는 최근 랜섬웨어 공격이 잇따르자 개인정보보호법 위반 시 과징금 규모를 현행보다 크게 높이는 방안 등 징벌적 수단 도입을 추진 중인 것으로 알려졌다.
김승주 고려대 정보보호대학원 교수는 “우선 국내 개인정보 보호 정책 전반이 네거티브로 완전히 전환돼야 징벌적 제도 도입을 논의하고 기업에 책임을 물을 수 있다”며 “생태계 전반이 움직이지 않고 규제만 도입하면 오히려 역효과를 일으킬 것”이라고 말했다.
