기자칼럼

[취재수첩] 더 이상 면죄부는 없다

최민지

[디지털데일리 최민지기자] 개인정보가 무더기로 유출됐다. ‘새로 등장한 지능형 공격’ 또는 ‘북한 소행’, 주로 등장하는 주범이다. 이어 정보보호 시스템을 갖췄지만 100% 안전한 보안은 존재하지 않듯 어쩔 수 없이 당했다는 답변이 나온다.

정부가 과징금 제재를 내려도 고작 1억원 안팎. 그 간의 법원 판결을 살펴보면 행정소송을 제기했을 때 과징금 부과 취소를 받을 가능성도 꽤 있다. 기업 등이 애를 써서 정보보안 강화에 노력하지 않는 이유 중 하나다.

상당수 기업들은 정보보안 투자에 인색하다. 수익은 없고 돈만 축내는 ‘비용’으로만 인식하기 때문이다. 기업 내에서 정보보호최고책임자(CISO)가 다른 C레벨 직책과 어깨를 견주지 못하는 경우도 다반사다. 보안 정책을 내놓더라도 최고경영자(CEO)·최고재무책임자(CFO) 눈치 보기 바쁘다. 결국 정부 규제를 충족시키는 선에서만 예산을 집행하는 상황에 놓인다.

실제로, 한국인터넷진흥원에 따르면 지난해 국내 기업들 중 전체 IT 예산에서 보안투자비가 5% 이상인 곳은 1%에 불과했다. 또, 수십억원을 쏟아 부어 보안 시스템을 갖추기보다, 솜방망이 과징금만 지불하는 편이 수지타산이 맞다는 우스갯소리도 나온다.

하지만 이제 더 이상의 면죄부는 없다. 정부가 처벌 수위를 높였다. 인터파크는 북한 소행으로 추정되는 지능형지속위협(APT) 공격을 받아 2500만건에 달하는 회원정보를 유출했다. 과거였다면 수천만원의 과징금에서 멈췄을 테다.

하지만, 방통위는 개인정보 유출사고 사상 역대 최대 규모의 과징금인 44억8000만원을 부과했다. 매출액의 3%까지 과징금을 매길 수 있도록 관련법을 손질한 덕이다. 이는 다른 기업들에게 개인정보 유출과 관련해 더 이상의 솜방망이는 없다는 좋은 본보기가 될 것이다.

물론, 피해 이용자들이 봤을 때 과징금만으로는 부족할 수 있다. 피해자들에게 합당한 보상이 필요하다는 지적도 이어진다.

안타깝게도, 인터파크는 징벌적 손해배상제도에서 벗어날 가능성이 높다. 지난 7월 개인정보보호법상에 징벌적 손해배상제도 및 법정 손해배상제도가 도입됐으나, 인터파크 해킹은 5월에 발생했기 때문이다. 결국, 손해배상을 받기 위한 집단소송으로 몰릴 수밖에 없다.

그럼에도 이번 의결은 의미가 있다. 더 이상 기업에게 면죄부를 주지 않겠다는 ‘경종’을 울렸기 때문이다. 과징금 처벌을 피하기 위해서라도 정보보안을 한 번 더 들여다 볼 수 있는 기회로도 작용 가능하다. 개인정보를 지켜야 하는 명분이 생긴 것이다.

징벌적 손해배상제도까지 본격 적용되면, 개인정보 유출로 감당해야 하는 비용은 급증하게 된다. 이제 기업들은 인터파크건을 반면교사 삼아 정보보안 수준을 높이기 위한 다각적 노력을 진행해야 한다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널