기업들 덜덜 떠는 '매출 10% 과징금'…업계 "정보 주체 보호 실효성 의문"

한국인터넷기업협회와 법무법인 세종이 19일 서울 광화문 디타워에서 '개인정보 보호법 개정 동향과 합리적 제도 개선 방안 세미나'를 개최했다.ⓒ데일리안 이주은 기자

매출의 최대 10%까지 과징금을 부과할 수 있도록 하는 개인정보 보호법 개정안이 오는 9월 시행을 앞둔 가운데, 단순히 제재의 수위를 높이는 것이 사고 억제 효과를 불러오기보단 기업의 자발적인 보안 투자를 위축시키고, 국가 디지털 생태계 전반의 글로벌 경쟁력을 약화시킬 것이라는 전문가 우려가 제기됐다.

이에 더해 사고 발생 시 유출 당사자가 고의나 과실을 입증하지 못하면 손해배상 책임을 지우는 무과실책임 도입 역시 사이버 공격 현황을 이해하지 못한 과도한 규제라는 의견도 나왔다.

19일 서울 광화문 디타워에서 열린 '개인정보 보호법 개정 동향과 합리적 제도 개선 방안 세미나'에서 전문가들은 "기업에 대한 제재를 강조하며 오히려 정보 주체 보호에 대한 논의는 이뤄지지 않고 있다"며 개인정보 유출이나 사이버보안을 막는 데 과징금 상향이 적절한 수단인지 고민해야 한다고 진단했다.

개인정보보호위원회는 지난 10일 개인정보 보호 책임 강화를 내용으로 하는 개인정보 보호법 개정안을 공포한다고 밝혔다. 개정안은 징벌적 과징금 도입, 개인정보 보호책임자 역할 강화 및 개인정보보호 관리체계(ISMS-P) 인증제도 개선 등을 골자로 한다.

최근 연이은 대규모 개인정보 유출 사고로 불안과 사회적 우려가 커지는 상황에서 기업과 기관의 개인정보 보호 책임을 강화하기 위해 신속히 추진했다는 설명이다.

개정안의 핵심은 징벌적 과징금 부과다. 국회는 반복적이거나 중대한 위반행위에 대해서는 전체 매출액의 최대 10%까지 징벌적 수준의 과징금을 부과할 수 있는 특례를 도입했다. 기존 과징금 제도만으로 개인정보 침해 사고에 대한 실효적인 억지력 확보에 한계가 있다는 점을 고려해 반복적·대규모 피해 발생 등의 경우에는 강화된 제재를 부과할 수 있는 법적 근거를 마련했다는 주장이다.

전문가들은 과징금을 위반자 처벌이 아닌 위반 행위로 인한 사회적 비용과 피해를 내부화해 법 준수를 유도하는 경제적 규율 수단으로 이해해야 한다고 봤다. 유출 사고에 있어 과징금 같은 경제적 제재 상향이 정보 주체 보호에 도움이 되는지 근본적인 물음이 병행돼야 한다고도 제언했다.

윤호상 법무법인 세종 변호사는 "과도한 경제적 제재가 강조될 경우 기업 자원이 보안역량 강화보다 소명이나 분쟁 대응에 집중되는 역효과가 발생할 수 있다"며 "과징금은 원칙적으로 일반 회계에 귀속되기 때문에 정보 주체의 보호에 직접적인 효용 가치가 없다"고 말했다.

계인국 고려대 행정전문대학원 교수는 "개정안이 예정하고 있는 과징금과 그 상향 수준이 해외입법례와 비교할 때 수치상으로 적절하다고 볼 지 모른다"면서도 "과징금이 가진 제재적 성격이 우선될 경우 피해와 책임 간의 균형성이나 문제 상황에서의 회복력을 담보할 수 없다. 일벌백계식 과징금 부과가 본래 겨냥한 행정목적의 달성과 무관한 방향으로 이어질 수 있다"고 지적했다.

개정안 중 유출 통지 범위 확대가 오히려 기업들의 방어적 통지 남발을 유발할 것이라는 의견도 나왔다. 개정안은 통지 대상을 기존의 분실, 도난, 유출에서 위조, 변조, 훼손까지 확대시켰는데 그 개념적 범위가 지나치게 포괄적이라는 것이다.

권세화 한국인터넷기업협회 정책실장은 "악의적인 해킹뿐만 아니라 시스템 업그레이드 중 발생하는 일시적 데이터 오류, 하드웨어 장애, 담당자 실수 등 비의도적 장애까지 통지 대상에 포함될 우려가 커졌다"며 "유출 가능성만으로도 사전 통지 의무를 지운다면 기업들은 가혹한 법적 리스크를 피하기 위해 사실관계가 불명확한 초기 단계부터 방어적인 통지를 남발할 것"이라고 말했다.

기업 개인정보 유출이 국가 단위나 전문 해커 집단을 배후에 둔 사이버 공격으로 이뤄지는 경우도 많은데, 이 경우 피해자인 기업이 제3자의 침입행위로 인해 발생하는 손해에 대해서까지 무과실책임을 인정하는 것이 위험 책임 원칙에 부합하지 않는다는 것도 업계 주된 시각이다.

당정은 개인정보 유출에 따른 법정 손해배상제도 실효성을 높이기 위해 기업 등 유출 당사자가 고의 또는 과실을 입증 못 하면 배상 책임을 지도록 법을 개정하기로 했다. 현행법은 고의 또는 과실 책임을 피해자, 즉 고객들이 입증해야 하는데 이것이 현실적으로 어렵다는 지적이 제기돼 왔다.

계 교수는 "개인정보 유출, 정보 보안, 사이버보안의 문제는 전형적인 리스크 관리의 영역이다. 개인정보 유출 문제를 국가 전체적인 사이버 안보 보안의 문제로 접근해야 하는 경우도 있다"고 했다.

안정호 법무법인 세종 변호사는 "해킹으로 인해 개인정보가 유출된 경우에 개인정보처리자가 안정성 확보조치를 다한 것으로 평가된다면 행정 제재는 피할 수 있지만, 정보 주체의 잘못이나 재난 등이 추가적으로 인정되지 않으면 민사책임은 인정될 수 있다"며 "이런 사례가 반복될 시 개인정보처리자 입장에서는 정보보호 투자 노력을 다했음에도 상시적으로 민사책임을 부담할 수 있는 리스크에 놓이게 될 것"이라고 했다.

하지만 개인정보보호위원회는 정보 주체 보호 측면에서 봤을 때 기업에게 피해자와 가해자 측면의 양면성이 존재한다는 시각을 견지했다.

임종철 개인정보보호위원회 서기관은 "기업이 가해자로서 성격이 있는 부분에 대해서 정보 주체인 국민 개개인에 대한 보상이나, 법을 위반해 피해를 끼친 부분에 대해서는 어떻게 정당하게 책임을 질 지 논의해야 한다"고 말했다.

그러면서 "기업이나 기관의 고의 과실로 인해 유출이 발생하고, 그로 인해 손해를 입었다는 일련의 과정의 인과관계를 피해자인 정보 주체가 입증해야 한다고 하면, 과연 일반 개개인이 기업과 기관을 상대로 입증하는 것이 가능할지 의문"이라며 "유출 기관이나 기업에서 법적 책임을 준수했다는 증빙 자료를 만드는 것이 훨씬 수월할 것"이라고 했다.