(서울=연합인포맥스) 윤영숙 기자 = 기업들의 잇따른 대형 개인정보 유출 사고로 정부가 연내 발표할 '2차 관계부처 정보 보안 종합대책'에 강도 높은 규제 패키지를 담을 것으로 전망됐다.

10월 범부처 대책을 시작으로 국회 긴급 현안 질의, 대통령 발언까지 이어지며, 정부는 사실상 온라인카지노 커뮤니티 유니88 보안 체계 전면 개편에 착수한 모습이다. 쿠팡의 개인온라인카지노 커뮤니티 유니88 유출 사고가 도화선이 됐다.

3일 관련 업계에 따르면 이재명 대통령은 전날 국무회의에서 "사고 원인을 조속히 규명하고 엄중하게 책임을 물어야 한다"며 대책 마련을 지시했다.

이 대통령은 쿠팡이 5개월 동안 유출 사실을 인지하지 못한 점을 강력히 비판하며 "해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상 제도를 현실화하라"고 지시했다.

◇ 징벌적 손해배상제·영업정지 등 규제 강화

정부의 규제 강화 기조는 10월부터 이미 예고돼 있었다. 배경훈 부총리 겸 과학기술정보통신부 장관은 10월 서울청사 브리핑에서 "개인정보가 유출되거나 금융 피해로 이어진 경우 전체 매출의 3% 과징금 부과 연구를 진행하고 있다"며 "해외에는 매출의 10%를 부과한 사례도 있어 정책 범위를 넓게 검토하겠다"고 밝힌 바 있다.

이는 국내 법제의 상한을 유럽연합(EU) 일반개인온라인카지노 커뮤니티 유니88보호법(GDPR) 수준인 '4%' 등으로 끌어올릴 가능성을 시사한 발언이다.

국회 정무위원회 소속 더불어민주당 민병덕 의원실이 온라인카지노 커뮤니티 유니88 자료를 분석한 결과, 2021년부터 올해 7월까지 451건의 사고로 8천854만3천여건의 개인정보가 유출된 것으로 확인됐다.

이 가운데 125건에 대해 877억2천732만4천원의 과징금이, 405건에 대해 24억9천880만원의 과태료가 각각 부과됐다.

사건당 평균으로 따지면 과징금은 약 7억원, 과태료는 약 617만원 수준이다. 유럽이나 미국에서 1조원을 웃도는 과징금이나 배상금이 부과되는 것과는 크게 비교된다.

현행 국내 개인정보보호법은 전체 매출액의 3% 이내에서 과징금을 부과할 수 있도록 하고 있으며, 이때 전체 매출액에서 위반행위와 무관한 매출은 제외할 수 있다. 또한 ISMS-P 인증을 받았을 경우 과징금은 최대 50%까지 경감받을 수 있다.

그런데 쿠팡이 올해까지 ISMS-P 인증을 두 번이나 받았으나 네 차례 온라인카지노 커뮤니티 유니88 유출 사고가 발생해 인증 제도 무용론까지 제기되고 있다.

전날 국회 과방위 현안 질의에서 배 부총리는 다시 한번 "국민에게 직접 피해를 주고 금융 불안을 높이는 사안은 징벌적 손해배상으로 반복되지 않도록 하는 게 중요하다"고 말했다.

그는 "개보위와 협의해 기업들이 보안에 투자하도록 제도를 정비하겠다"고 덧붙였다.

이정렬 온라인카지노 커뮤니티 유니88 부위원장 역시 "국내외 유사 사례를 분석하며 징벌적 손해배상 제도의 실효성을 신중히 검토 중"이라고 밝혔다. 금융위원회도 전자금융거래법 개정을 통해 금융기관에 대한 징벌적 과징금 상향 등을 검토 중이다.

이정렬 부위원장은 ISMS-P 인증 제도와 관련해서는 "ISMS-P 예비 심사 도입을 집중적으로 검토하고 있다"며 "사후 모니터링 과정에서 중대한 하자가 확인될 경우 인증 취소를 포함한 제재 수단을 강화하는 방향으로 전체 제도를 다시 뜯어고치고 있다"고 말했다.

ISMS-P 인증은 과기정통부와 온라인카지노 커뮤니티 유니88가 공동으로 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증제도다.

영업정지도 도입될 수 있는 제재 수단으로 논의된다. 배 부총리는 "해킹으로 재산상 손실이 발생할 경우 공정위와 영업정지 조치를 검토하겠다"고 말했다.

이는 쿠팡뿐 아니라 KT·SKT·LG유플러스 등 대형 사업자에서 반복된 사고가 '기업 영업 자체를 중단시킬 수 있는 사안'이라는 정부 판단을 반영한 것이다.

실제로 정부는 KT 사태에 대해 "조사 결과에 따라 위약금 면제와 영업정지가 가능하다"고 밝힌 바 있다.

경영진의 책임도 대폭 강화될 것으로 보인다. 배 부총리는 "CEO도 보안 책임에서 벗어날 수 없다"며 법령에 최고경영자 책임 명문화를 검토 중이라고 밝혔다.

이 같은 정책 흐름과 대통령의 강경한 메시지를 반영하면, 12월 발표될 2차 대책에는 '과징금 상향(3→4% 또는 그 이상), 징벌적 손해배상 현실화, 영업정지 기준 신설, 최고경영자(CEO) 법적 책임 명문화, ISMS-P 인증제도 정비' 등 강도 높은 조치가 포함될 가능성이 크다.

◇ '중장기 과제' 국가사이버안보전략 수립

중장기적으로는 국가안보 차원의 정책 재편도 예상된다.

이재명 대통령은 전날 "초연결 디지털 사회를 맞아 민간과 공공을 아우르는 '패러다임 시프트' 수준의 새로운 디지털 보안 제도를 조속히 시행해달라"고 촉구했다.

이는 국가안보실 중심의 사이버 컨트롤타워 강화, 민관군 통합 대응체계 구축, AI 기반 탐지·경보 시스템 도입 등 '국가 사이버안보 전략'이 나올 가능성을 시사한다.

정부는 지난 10월에 범부처 종합 대책을 발표하면서 중장기 과제를 망라하는 국가 사이버안보 전략을 연내 수립하겠다고 발표했다.

국가 사이버안보 전략은 정부가 국가 차원의 사이버 안전을 확보하기 위해 수립하는 '최상위 청사진'으로, 공공·민간·군·기간산업 전 영역을 아우르는 보안 정책의 방향과 원칙, 그리고 부처별 실행계획을 규정한 전략 문서다.

문재인 정부의 2019년 '국가 사이버안보 전략'을 시작으로 매 정부는 각기 중장기 사이버안보 전략을 발표해왔다.

정부 스스로도 "사후 대응에서 사전 예방으로 전환해야 한다"고 밝힌 만큼, 이번 전략은 기존 대책을 단순 보완하는 수준을 넘어 '패러다임 시프트' 수준의 대전환 계획이 될 가능성이 크다.

ysyoon@yna.co.kr

<저작권자 (c) 연합인포맥스, 무단전재 및 재배포 금지, AI 학습 및 활용 금지