[비즈한국] 올 들어 연이어 발생한 대규모 정보 유출 사고로 규제 실효성이 도마에 오르면서 정보보호 강화를 위한 입법 움직임이 분주하다. SK텔레콤 유심(가입자 식별 장치) 해킹 사태 이후 예스24, KT, 롯데카드 등에서 고객정보 유출이 반복된 반년 간 정보보호관리체계(ISMS)와 조사 절차를 바꾸자는 내용의 정보통신망법 개정안은 25건 발의됐다. 잠재 피해자에게도 유출 가능성을 통지하거나, 전체 이용자 대상 보호 조치를 의무화하는 법안도 추진된다. 유사 사고와 늑장 신고가 반복되면서 제도 강화 목소리가 커지는 가운데 쏟아지는 법안이 보안 ‘공백’을 메울 수 있을지 주목된다.
#기업 대응 지연 방지·의무 구체화가 핵심
올 4월 발생한 SK텔레콤 유심 해킹 사태 이후 국회는 대책 마련에 열을 올렸다. 2일 국회 의안정보시스템에 따르면 6개월 간 발의된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부 개정안(정보통신망법 개정안)’은 25건이었다. 신고·통지 의무를 구체화해 기업의 대응 지연·회피를 방지하고, 정보보호 예산 투자나 관리체계 운영 실태 등을 체계화하는 내용이 주를 이뤘다.
현행법은 이용자 보호 의무를 규정하고 있으나 해킹 등 침해사고 발생 시 보호 조치에 관해서는 구체적인 규정을 두고 있지 않다. 예외적인 경우 통지를 미룰 수 있도록 해 대응 ‘구멍’을 야기했다는 평가가 많다. 개별 개정안에서 △신속한 피해구제 의무 부과 및 미이행 과태료 상향(최민희 의원 안) △일정 규모 이상 사업자 대상 정보보호 수준 평가 의무화 및 결과 공개(이해민 의원 안) △정보보호 최고책임자에게 인력 관리 및 예산 편성 권한 부여(조인철 의원 안) △공공기관 정보보호 관리체계 인증 의무화(김기현 의원 안) 등이 제안됐다.
해당 법안들은 최근 대규모 개인정보 유출 사고에서 드러난 기업들의 신고 지연 및 은폐 행태와 정부 대응 체계의 허점, 공공기관 보안 사각지대 등에서 출발했다. 다수 법안은 관할 기관의 권한과 제재 수단을 구체적으로 법에 올리고 기업에는 피해 확산 방지 및 구제 의무를 부과하자는 입법 논의를 담았다.
국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 지난해 8월 이후 1년간 확인된 늑장·미신고 사례는 66건이다. 지난해 8월 정보통신망법 개정으로 사고 24시간 내 신고가 의무화됐지만 일부 기업의 경우 사고 인지 후 1년이 지나 신고한 경우도 존재했다. 과태료가 최대 3000만원에 불과한 현행 제재 수준이 기업들의 신고 회피를 부추기고 있다는 평가다.
올 들어 매달 반복된 대규모 정보 유출 사건들을 계기로 정부의 사전 예방과 사후 대응 체계 모두에 허점이 있다는 사실을 보여줬다는 지적이 나온다. 최근 고객 3370만 명의 개인정보가 유출된 쿠팡부터 SK텔레콤과 예스24, 롯데카드, KT 등은 모두 국내 최고 수준의 보안인증 ‘ISMS-P(정보보호 및 개인정보보호 관리체계 인증)’을 받은 기업들이다.
이 중 롯데카드는 서버 해킹 발생 이틀 전 금융보안원으로부터 이 인증을 획득했다. 사이버 침해 위협에 효과적으로 대응할 역량을 갖췄다고 인정받은 것이다. 금융권 이외 민간에서 발생한 보안 사고는 정보통신망법과 정보보호산업법 등에 따라 과기정통부 산하 KISA가 담당한다. 정부가 정보통신망의 안전성을 보장하기 위해 도입한 이 보안인증은 실제로는 최소한의 기준만을 충족하는 형식적인 제도라는 지적을 받는다.
#기업 내 보안 체계 강화…‘보호 조치’ 의무화도 추진
같은 기간 개인정보보호법(18개)과 전기통신사업법(5개) 개정안 입법도 잇따랐다. 개인정보 유출과 관련해 정보주체에게 빠르게 충분한 정보를 제공하고, 정부의 권한 등을 강화해야 한다는 큰 틀은 유사하다.
구체적으로 보면 개인정보보호법 개정안들은 △개인정보 처리 및 수집 단계에서 권리 고지 절차 강화, 개인정보 영향평가 의무실시 대상 민간으로 확대(박민규 의원안) △유출 가능성이 있는 모든 잠재 피해자 대상 개별 통지 의무화(이훈기 의원안) △전화·문자·이메일·서면 개별 통지 및 재발 방지 대책 공개 의무 등 이른바 ‘개별통지 의무화법’(이해민 의원 안) 등 정보 주체의 알 권리 보장을 위한 세부 규정을 다루고 있다.
국회 과방위는 지난달 19일 법안소위에서 기업 내부의 정보보호 의사결정 구조와 책임 체계를 강화하는 정보통신망법 개정안을 위원회 안으로 의결했다. 정보통신서비스 제공자가 정보보호 전문인력 및 충분한 예산을 확보하기 위해 노력하고 정보보호 책임자(CISO)에게 인력관리·예산 편성 권한을 부여, 정보보호 현황을 이사회에 보고하도록 하는 내용이다.
당국은 최근 강제력을 강화한 규제 체계 구축 의지를 드러내고 있다. 금융권으로 해킹 사태가 확대되면서 금융위원회가 과징금·이행강제금 도입 등 제재 수위를 대폭 강화하는 내용의 전자금융거래법 개정 추진도 시사했다. 현행 개인정보보호법에 따르면 전체 매출액의 3% 이내에서 과징금을 부과할 수 있다. 반면 금융거래법 개정안에는 마땅한 사후 제재 방안이 없다.
국회 입법조사처도 사고 처리에 소극적인 기업 대응과 정부의 미흡한 대처의 개선 필요성을 지적했다. 관련 보고서는 “정보통신망법에 침해사고 발생 시 취해야 할 경보의 대상이나 내용, 방식을 구체적으로 정하고 광범위하거나 중대한 위험을 발생시킬 수 있다고 판단되는 경우 행정안전부장관과 협의해 재난경보체계를 활용해 신속하게 해킹 사실을 안내할 수 있는 체계를 마련하는 방안을 검토할 필요가 있다”고 언급했다. 정보통신망법상 침해사고를 방송통신발전 기본법의 방송통신재난으로 분류하는 방안도 거론된다.
최근 개별 피해자의 실질적인 피해 보상 역시 필요성 주목받고 있다. SK텔레콤 사례가 집단분쟁조정·단체소송 시행 이후 첫 집단분쟁조정 신청 사례인데 지난 20일 회사는 가입자 개인정보 유출 피해자에게 1인당 30만 원을 배상하도록 한 개인정보보호위원회 분쟁조정위원회 조정안을 거부했다.
박소영 국회 입법조사처 입법조사관은 “개인정보 침해로 인한 소액·다수 피해에 대한 실효적인 구제 방안을 마련하는 것은 분명히 필요하며 그에 대한 심도 있는 검토가 필요하다”면서도 “미국 등과 다른 법체계를 갖춘 한국에서 집단소송을 도입하려면 신중한 검토와 세심한 제도 설계가 요구된다”고 짚었다.
강은경
기자
gong@bizhankook.com
[핫클릭]
·
[단독] "퇴직공로금 달라" 박현종 전 회장, BHC 상대 패소
·
'올리비아 딘이 쏘아올린 작은 공' 티켓 재판매 규제 도화선 될까
·
[단독] 더본코리아, 자회사 푸드인큐 청산 수순…주류 사업 정리 중
·
인터넷은행 '포용금융' 확대로 정부에 화답…연체율 '부메랑' 우려도
·
정산 연기에 입점 업체 이탈…자금줄 마른 홈플러스, 돌파구 있나
<저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지>
![[현장] K팝](/images/common/list01_guide.png)