이번 대책은 관련 기관을 협조 체제 구축은 물론 민관협력체계 마련에서부터 기술적 보호 대책, 개인정보 수집 기업의 책임 강화 등의 포괄적 범위의 대책으로 우리사회의 개인정보보호 수준을 높일 수 있을 것으로 기대된다.
그러나 늦은 감도 있다. 대량의 정보유출 사건 이후에 뒤늦게 발표된 것이기 때문이다. 진작 이러한 제도가 마련됐다면, 1천만명에 달하는 대량의 개인정보 유출로 인해 온 나라가 벌집을 쑤셔놓은 듯 소란스러운 상황을 예방할 수 있었을 것으로 생각되기 때문이다. 정보보호 업계에서는 이미 수년전부터 개인정보보호의 필요성에 대해 말하면서 개인정보보호법의 제정을 촉구해왔지만, 개인정보보호법은 정치일정에 밀려 표류한 상황이다.
뒤늦게나마 발표돼 사후약방문이란 아쉬움이 존재하지만, 이번 대책을 통해 지금부터라도 개인정보가 철저하게 보호될 수 있도록 해야 한다. 이를 위해서는 이번 조치에서 보다 강화해야 할 부문이 있다고 지적된다.
우선 꾸준히 제기되는 문제 중 하나는 ‘솜방망이 처벌’이다. 그동안 정보보호 관련 법률 위반 시에도 제재조치가 미약해 유출사고가 반복돼왔다는 것이 업계의 중론이다. 보안 솔루션 도입보다 범칙금, 과징금이 미미해 보안 솔루션 도입보다 ‘벌금을 받고 말지’하는 생각이 기업에 만연해 있다는 것이다.
보안 소홀로 1천만명의 개인정보가 유출된 사상 최악의 보안 사고는 물론, 기업이 앞서 고객정보를 불법 유통시킨 사례는 법적 처벌에 대해 기업이 전혀 두려움을 갖고 있지 않음을 반증하는 것이다. 한 대형 쇼핑몰은 개인정보를 텔레마케팅 기업과 거래하기도 해 경악을 금치 못하게 했으며, 보안 불감증은 물론 도덕성까지도 의심케 하고 있는 상황이다.
이번 방통위 발표에서는 보다 강력한 제재 조치가 발표됐지만, 이 또한 ‘솜방망이 처벌’이라고 지적된다. 개인정보관리책임자 미지정 등 절차의무 위반에 대한 과태료가 현행 1천만원에서 2∼3천만원으로 상향 조정됐지만, 이 또한 시스템 도입 비용보다는 형편없이 적은 금액이기에 보안 솔루션 도입을 꺼리는 풍조는 지속될 것이라는 게 전문가들의 지적이다.
외국의 사례와 비교하면, 국내의 제재 수준이 미약함을 쉽게 알 수 있다. 해외의 경우, 강력해진 법규정으로 인해 수백만달러에 달하는 과징금 부과는 물론, 임원직의 직무유기로 인한 조치미비가 드러날 경우에는 최고경영자가 구속되는 사태까지 맞이할 수 있다.
이 때문에 해외 시장에서는 IT 컴플라이언스 관련 수요가 급증한 상황으로 각 기업들은 보안 강화에 온 힘을 기울이고 있다. 반면, 국내 시장에서는 미약한 처벌로 인해 IT 컴플라이언스 수요가 일지 않고 있다. 이 또한 국내의 솜방망이 처벌을 반증하는 사례라고 할 수 있다.
보안 시스템 도입이 수억원에 달하는 상황에서 보안사고 발생 시 받을 수 있는 최대 3천만원의 과징금은 부족한 감을 지울 수 없다. 이 상황에서 보안 시스템 도입금액과 과징금을 선택할 때 어떤 것을 택할지는 불 보듯 뻔한 일이라고 할 수 있다.
법규 위반 시, 대형 보안사고 발생 시 처벌이 보다 강화돼야 기업들의 보안 소홀 풍조가 개선될 것으로 여겨진다. 아무리 ‘기업 프렌들리’라지만, 국민을 위협할 수 있는 보안 부문까지 ‘기업 프렌들리’가 되어서는 안 될 것이다. 보안까지 기업 편의를 보장한다면, 이는 곧 기업 프렌들리가 아닌 ‘크랙커 프렌들리’가 될 것이다. <오현식 기자>
