3년째 같은 레퍼토리, '개인정보 유출' 대응 달라져야
최근 3년간 3천500만건의 개인정보가 유출된 것으로 나타났다. 우리나라 인구가 5천160만명인 것을 감안하면, 국민 10명 중 7명의 개인정보가 유출된 셈이다.
미래창조과학방송통신위원회 소속 새누리당 이은권 의원은 방송통신위원회가 제출한 국정감사 자료를 토대로 "방송통신위원회 출범 후 개인정보 유출 현황"을 발표하며, 개인정보 유출의 심각성을 지적했다.
이은권 의원은 "개인정보 유출에 대한 조치 결과를 보면 대부분 1천만원 이하의 과태료 처분과 시정명령 정도"라며 "이 외엔 아무런 제재가 없었다"고 꼬집었다.
국민의 70%가 해킹 등으로 개인정보가 유출됐다는 사실, 개인의 재산과 직결될 수 있는 개인정보가 유출됐음에도 처벌이 미비하단 사실이 놀라울 수 있다. 그러나 이는 전혀 새롭지 않은, 국정감사 시즌마다 반복되는 레퍼토리다.
앞서 지난해, 그 전 해에도 개인정보 유출의 심각성과 허술한 보안, 미미한 처벌을 지적하는 목소리가 나왔다.
19대 국회 당시 안전행정위원회 소속이었던 새정치민주연합(현 더불어민주당) 노웅래 의원이 행정자치부로부터 제출받은 '개인정보 유출사고 신고 현황'에 따르면 개인정보법 시행(2011년 9월) 이후부터 2015년 6월까지 총 64번의 유출사고가 있었고, 누적 기준 총 1억3천만건의 개인정보가 유출된 것으로 나타났다.
당시 노 의원은 "행자부가 개인정보 유출사고 신고를 받으면 현장조사로 사실을 확인한 뒤 개인정보보호법에 따라 시정조치, 고발, 벌금 등의 행정처분을 내리지만, 처벌 강도가 미미한 수준"이라면서 "작은 규모의 개인정보 유출이라도 책임소재를 분명히 하고 엄벌해야 개인정보를 악용한 추가 범행을 막을 수 있다"고 주장했다.
앞서 18대 국회 때도 당시 미방위 소속이던 새정치 문병호 전 의원 역시 한국인터넷정보원(현 한국인터넷진흥원)으로부터 받은 '2010년~2014년 대규모 개인정보 유출·노출 사고' 내역을 발표한 바 있다.
이 자료에 따르면, 2010년부터 2014년까지 총 7건의 대규모 개인정보 유출사고가 있었고, 누적 기준 약 1억620만건의 개인정보가 유출됐다. 그러나 개인정보를 관리하지 못한 7개 기업이 받은 제재 조치는 과징금 16억2천700만원, 과태료 1억4천600만원, 보안 취약점 시정명령이 전부였다.
당시 문 전 의원은 "대규모 정보 유출 사고로 1억건이 넘는 개인정보가 유출됐지만, 제재는 솜방망이에 그쳤다"며 "거액의 2차 피해를 막으려면 제재를 강화하고 유기적인 대응체계를 갖춰야 한다"고 강조했다.
IT가 일상생활 곳곳에 녹아들고 개인정보의 중요성이 강조되고 있지만, 3년째 레퍼토리가 변하지 않고 있다. 개인정보 유출 규모 수준도, 솜방망이 처벌도, 대응책의 부재도 여전하다.
이에 보안 업계 일각에서는 징벌적 손해배상제도(징벌제)를 도입하는 것에 대한 이야기가 나온다. 징벌제는 기업의 악의적이고 반사회적 행위에 책임을 무겁게 묻고, 그 같은 행위를 억제하자는 취지에서 실제 손해액의 몇 배 규모로 배상액을 산정하는 것이다.
맞아도 아프지 않은 매질을 할 게 아니라, 기업 개인정보 유출과 관련해 징벌제를 도입해 잘못을 따끔히 혼내자는 것이다. 개인정보 유출 재발을 막고 기업들의 책임 의식을 높이자는 취지다.
한 보안 업계 관계자는 "미국을 포함한 해외 선진국의 경우, 개인정보가 유출됐을 때 몇천만원 수준의 과징금이 아니라 몇천억원 수준의 과징금을 부과한다"며 "개인정보 관리를 제대로 못하면 회사가 폐업될 수 있다는 인식하에, 기업의 위기관리 측면에서 보안을 바라보고 투자한다"고 말했다.
이어 "물론 처벌이 능사는 아니고 보안을 투자로 바라보는 전반적인 인식 개선이 필요하다"면서도 "보안이 투자임을 스스로 인식하지 못하면, 결국은 징벌제 같은 강제적 도구로 보안에 대한 인식을 제고하고 피해를 막을 수밖에 없지 않겠냐"고 덧붙였다.
또 다른 보안 업계 전문가는 "보안에는 100%가 없고, 사이버 공격이 날로 진화해 기업들이 보안에 어려움을 겪고 있다"면서도 "우리나라의 경우, 문제가 발생했을 때 지나치게 기업에 호의적이라 개선이 필요하다"고 말했다.
이어 "우리나라의 경우, 최선의 노력을 다했다는 걸 증명하면 면피해주는데, 최선의 노력이라는 게 법 규정 준수 수준에 그친다"며 "법 규정 준수로 면피하게끔 해주는 게 아니라 말 그대로 최선을 다했다는 걸 증명하게끔 해야 한다"고 지적했다.
징벌제를 도입하자는 목소리가 나오는 것은 단순히 '기업 때리기'를 하자는 게 아니다. 그 정도로 보안이 취약하고, 보안에 대한 기업의 투자 및 대응이 절실하다는 방증이다. 문제가 반복된다면 징벌제 도입을 검토해볼 만하다.
출저 : 아이뉴스24 /성지은기자 buildcastle@inews24.com