![지난해 10월 22일 배경훈 부총리 겸 과학기술정보통신부 장관을 비롯한 주요 관계자들이 정부서울청사에서 '범부처 정보보호 종합대책'을 발표하고 있다. 왼쪽부터 이용석 행정안전부 디지털정부혁신실장, 신진창 금융위원회 사무처장, 김창섭 국정원 3차장, 배경훈 부총리, 류제명 과기정통부 2차관, 이정렬 개인정보보호위원회 부위원장 직무대리. 범부처 정보보호 종합대책」을 수립하여 10월 22일(수) 대국민 브리핑을 [사진=안세준 기자]](https://image.inews24.com/v1/7fbe11cf15abb5.jpg)
[아이뉴스24 박정민 기자] "보안 사고가 반복되는 기업에는 징벌적 과징금을 부과하겠다."(배경훈 부총리 겸 과학기술정보통신부 장관 신년사) "중대·반복적 유출 사고에는 매출액의 10%에 달하는 엄정한 징벌적 과징금을 적용하겠다."(송경희 개인정보보호위원장 신년사)
연이은 해킹 사고에 과학기술정보통신부와 개인정보보호위원회는 개인정보 유출 과징금 수위를 올리는 '징벌적 과징금'을 대책으로 내세우고 있다. 그간의 제재가 솜방망이여서 기업들의 정보 보안 노력이 부족했다는 판단에 따른 것이다.
보안업계 등 전문가들은 과징금 규모를 선진국 수준으로 상향하는 취지에는 공감하면서도 기업들이 경영 타격에 대한 두려움으로 해킹 신고 자체를 꺼리는 현실에서 보안 강화, 사후 대응에 노력한 기업을 위한 '보상'도 분명해야 한다고 제언했다.
과징금 상향 옳지만…보안 강화엔 '물음표'
![지난해 10월 22일 배경훈 부총리 겸 과학기술정보통신부 장관을 비롯한 주요 관계자들이 정부서울청사에서 '범부처 정보보호 종합대책'을 발표하고 있다. 왼쪽부터 이용석 행정안전부 디지털정부혁신실장, 신진창 금융위원회 사무처장, 김창섭 국정원 3차장, 배경훈 부총리, 류제명 과기정통부 2차관, 이정렬 개인정보보호위원회 부위원장 직무대리. 범부처 정보보호 종합대책」을 수립하여 10월 22일(수) 대국민 브리핑을 [사진=안세준 기자]](https://image.inews24.com/v1/ec8bf805e8a177.jpg)
지난달 중대·반복 유출사고 기업에게 '최대 전체 매출의 10%'까지 과징금을 상향하는 내용의 개인정보보호법 개정안이 국회 상임위를 통과했다. 징벌적 과징금에 대한 여야정 공감대가 형성된 만큼 본회의 통과가 유력하다.
국내 개인정보 유출 과징금은 지난 2023년 개인정보보호법 개정으로 '최대 전체 매출의 3%' 수준까지 상향된 바 있다. 그러나 과징금 상한선 자체가 없는 미국이나 매출액의 30%까지 부과하는 호주, 유럽연합(4%)·싱가포르(10%) 등 주요 선진국에 비하면 아직도 낮은 수준이라는 비판이 계속됐다.
다만 징벌적 과징금만으로 실제 기업의 정보보호 노력을 유도할 수 있을지에 대해 회의적인 시각도 있다. 기업들은 해킹 사고 발생 시 과징금뿐 아니라 해킹 사실 공개를 통한 평판 하락, 이로 인한 경영활동 타격 등 다양한 우려로 신고를 꺼리는 현실이기 때문이다. 황석진 동국대 정보보호대학원 교수는 "실제 피해 시 과징금 외에 다양한 상황을 고려해야 하는 기업의 관점을 이해해야 한다"고 설명했다.
![지난해 10월 22일 배경훈 부총리 겸 과학기술정보통신부 장관을 비롯한 주요 관계자들이 정부서울청사에서 '범부처 정보보호 종합대책'을 발표하고 있다. 왼쪽부터 이용석 행정안전부 디지털정부혁신실장, 신진창 금융위원회 사무처장, 김창섭 국정원 3차장, 배경훈 부총리, 류제명 과기정통부 2차관, 이정렬 개인정보보호위원회 부위원장 직무대리. 범부처 정보보호 종합대책」을 수립하여 10월 22일(수) 대국민 브리핑을 [사진=안세준 기자]](https://image.inews24.com/v1/c6d66849acca10.jpg)
실제 과학기술정보통신부 '2024 정보보호 실태조사'에 따르면 침해사고를 겪은 국내 기업 중 80.4%는 사고 시 신고 자체를 하지 않았다. 미신고 사유로 "피해 사실이 알려지는 것이 두렵기 때문(17.2%)"이라는 응답도 전년(1.2%) 대비 큰 폭으로 증가했다.
이러한 현실에서 과징금 상향만으로는 기업의 보안 강화나 신고율을 끌어올리기 어렵다는 지적이 나온다. 전문가들은 과징금 상향과 함께 평소 보안 강화에 노력했거나 정부 조사 등에 성실히 협조하는 기업을 위한 감경 기준(인센티브)을 더 확실하게 설계해야 한다고 강조했다.
김승주 고려대 정보보호대학원 교수는 "해외의 경우 대형 해킹 피해가 발생하더라도 평소 보안 수준이 높거나 유출 보고서를 성실히 작성해 공개하면 면책해 주는 인센티브도 있다"며 "사후 협조에 노력하는 기업을 위한 보상이 분명해야 기업이 은폐를 우선하는 태도를 바꿀 수 있다"고 설명했다.
20년 묵은 '망분리 체계'…거버넌스 개편도 필요
![지난해 10월 22일 배경훈 부총리 겸 과학기술정보통신부 장관을 비롯한 주요 관계자들이 정부서울청사에서 '범부처 정보보호 종합대책'을 발표하고 있다. 왼쪽부터 이용석 행정안전부 디지털정부혁신실장, 신진창 금융위원회 사무처장, 김창섭 국정원 3차장, 배경훈 부총리, 류제명 과기정통부 2차관, 이정렬 개인정보보호위원회 부위원장 직무대리. 범부처 정보보호 종합대책」을 수립하여 10월 22일(수) 대국민 브리핑을 [사진=안세준 기자]](https://image.inews24.com/v1/f9d581e5eb146a.jpg)
한편 2006년 이후 국내 공공·민간 보안의 근간이 됐던 '망분리 체계' 전환을 지원해야 한다는 지적도 나온다.
망분리 체계는 기업 내부망과 외부 네트워크를 분리하는 정책으로, 과거에는 사이버 공격 차단에 효과가 있었으나, 20년이 지나 클라우드·재택근무 등 원격 네트워크 접속이 보편화된 현재와는 맞지 않는 제도로 평가되고 있다.
국가정보원은 지난해 '국가 망 보안체계(N2SF)' 가이드라인을 발표하고 공공 영역의 망분리 체계 전환을 준비하고 있다. N2SF란 업무 정보를 기밀(C)·민감(S)·공개(O) 등급으로 나눠 차등적 보안을 적용하는 '제로트러스트' 기반 보안 체계로, N2SF를 기반으로 민간까지 새로운 보안 체계를 확산하기 위한 중장기 대책을 마련할 필요가 있다.
김승주 교수는 "N2SF 자체는 글로벌 수준에 맞춰져 있다. 다만 기업들이 여전히 과거 망분리 체계 기반에 익숙해 데이터 분류, 위협 모델링 등 N2SF 가이드라인을 맞출 수 없는 것이 현실"이라며 "새로운 보안체계 도입에 많은 시간이 걸릴 것"이라고 분석했다.
국정원·과기정통부·개인정보위 등으로 분산된 '보안 거버넌스'의 개편도 필요하다. 해킹 사고 발생 시 기관 간 역할 구분이 명확하지 않아 조사 기간이 늘어나거나 중복되는 등 피해 기업 입장에서 비효율을 불러오고 있기 때문이다.
황석진 교수는 "그간 보안 사고가 발생할 때마다 컨트롤타워가 달라 효율적인 대응을 어렵게 만드는 측면이 있었다"며 "사이버보안청 등 보안 사고 대응을 전담하는 조직 신설이 필요하다"고 강조했다.
김승주 교수는 "미국의 경우 국방 등 기밀정보는 국가안보국(NSA), 민감정보는 국립표준기술연구소(NIST) 등 데이터 중요도 중심으로 업무 분담을 재편했다. 그러나 국내는 아직 행정 편의적인 구조"라며 국정원, 과기정통부, 개인정보위의 업무를 N2SF 중심으로 재분배해야 한다고 설명했다.
/박정민 기자(pjm8318@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기