"개보법 제재, 처벌보다 재발 방지에 초점 맞춰야"

대규모 개인정보 유출 사고 시 과징금 중심의 처벌보다는 비례성 원칙과 재발방지 대책을 핵심으로 하는 제재 운영이 필요하다는 주장이 나왔다.

박종수 고려대학교 교수는 21일 웨스틴 조선호텔에서 한국데이터법정책학회 주최로 열린 '해킹 및 개인정보 유출 등 정보보호법의 이슈와 과제' 세미나에 참석해 "기업은 개인정보 보호의무를 지는 동시에 고도화된 해킹의 피해자라는 이중적 지위에 있다"고 말한 뒤 이렇게 강조했다.
최근 대규모 개인정보 유출 사고가 연이어 발생하면서 사회적 불안이 커지고 있다. SK텔레콤, GS리테일, 모두투어 등 주요 기업에서 발생한 사고는 수백만명의 고객 정보를 외부로 유출시키며, 개인정보보호법의 실효성에 대한 의문을 제기하게 했다. 이에 따라 과징금 부과, 형사처벌 강화 등 '결과 책임' 중심의 제재가 도입되고 있지만, 이런 방식이 근본적인 해결책이 될 수는 없다는 얘기다.

현행 개인정보보호법은 유출 사고 발생 시 통지·신고 의무, 손해배상책임, 매출액 최대 3%의 과징금 부과 등을 규정하고 있다. 하지만 대법원과 헌법재판소는 단순히 결과만을 근거로 과도한 제재를 가하는 것은 위헌·위법 소지가 있다고 꾸준히 지적해왔다. 이들은 사고 당시 기업의 보안 수준, 안전성 확보 노력, 피해 규모와 회복 조치 등을 종합적으로 고려해야 한다는 입장을 견지하고 있다.

특히 과도한 제재는 기업과 정부 간 정보 공유와 협력을 위축시켜 국가 차원의 보안 대응력을 저하시킬 수 있다는 우려도 커지고 있다.

기업들이 침해사고를 적극적으로 알리기보다는 숨기려는 유인이 강해지기 때문이다. 개인정보보호위원회가 컨트롤타워로서 역할을 제대로 하기 위해서는 사후 처벌보다는 사전 예방과 협력 강화에 중점을 두는 체계가 필요하다는 지적이 제기됐다.

해외 사례 역시 재발 방지 중심의 제재 운영이 보편적 흐름으로 자리 잡고 있다. 영국은 사고 후 신속 보고와 보완 조치를 취하면 과징금을 최대 90%까지 감경해주고 있으며, 미국은 과징금 부과 대신 보안 프로그램 구축, 데이터 최소화, 외부 평가 의무화 등의 개선 명령을 내리고 있다. 일본과 호주 역시 사고 재발 방지를 위한 보안 활동 의무화와 신속 대응 시 과징금 면제를 통해 기업이 적극적으로 대응할 수 있는 환경을 조성하고 있다.

박 교수는 "데이터가 경제 성장의 핵심 자원이 된 지금, 개인정보 보호는 단순한 처벌 강화로 달성될 수 없다"며 "국민 신뢰를 확보하기 위해서는 비례적이고 합리적인 제재와 함께 지속 가능한 보안 강화 체계로 나아가야 한다"고 강조했다.