정부가 제시하는 규제 일변도 정보보호 정책이 오히려 보안 수준을 하향평준화하고 사고 발생시 기업 책임을 회피하는 면죄부로 변질됐다.
지난 1월 사상 초유의 개인정보 유출 사건을 낸 신용카드 3사를 비롯해 3·20과 6·25 사이버 테러 등 대규모 사고 때마다 정부는 대책을 강구했다. 대형 사이버 안전사고는 규제 항목을 신설하는 결과를 불러왔다. 각 분야 보안담당자는 이 때마다 정부가 내놓을 대책만 바라보며 스스로 보안 수준을 높이지 않는다.
법원은 정보유출 관련 손해배상 소송에서 정보보안 관련 법규를 지킨 기업에 강한 손해배상을 명하기 어려운 상황이다. 개인정보보호법, 정보통신망법, 신용정보보호법, 전자금융거래법에 자세한 정보보안 규정이 있고 이를 다 지켰다면 그 이상의 보안조치를 하지 않은 이유로 민사상 불법행위라고 선언하기 어렵다. 집단소송에서 원고가 패소하는 이유다.
◇보안성 제고보다 규제 준수만 집중
국내 정보보호 담당자는 기업 내 보안정책을 세우거나 서비스 보안 영역 강화보다 규제 해석에 집중한다. 법과 행정규제만 준수하면 사고가 발생해도 책임을 피할 수 있기 때문이다. 자발적으로 정보보호를 하는 능동적 대처는 찾아보기 힘들다.
2008년 6월 정부는 정보통신망법을 개정해 형사 처벌과 과징금 등 이용자 개인정보관리 책임을 다하지 못한 기업 처벌을 강화했다. 2011년 3월에는 개인정보보호법을 제정했고 같은 해 전자금융감독규정 개정으로 금융, 공공, 민간영역 모든 기업의 법적 규제가 크게 증가했다. 2012년 정보통신망법 개정으로 기업은 주민번호 중심으로 운영하던 IT인프라를 바꿔야만 했다. 여기에 개인정보보호인증제(PIPL), 정보보호관리체계(ISMS), 개인정보보호관리체계(PIMS) 등 보안인증제도 규제 중 하나다.
금융당국은 신용카드 3사 개인정보유출 사고 후 3·10 금융보안강화종합대책을 내놨다. 하지만 아직 세부계획은 아직 나오지 않았다. 금융사는 규제 당국 세부계획이 정해지지 않자 우왕좌왕이다. 사고 발생 6개월이 다되도록 자체 보안전략을 발표하거나 별도 투자 계획을 세우지 못했다.
◇정보보호 수준 하향평준화로 이어져
규제 일변도 정보보호 정책은 보안 의식이 낮았을 때 일부 효과를 봤다. 하지만 급속한 IT발달과 전자금융거래 증가는 따라가지 못했다. 규제는 매번 사후 약방문식이다. 현재 해킹 공격에 무방비인 것은 물론이고 정보보호 양극화 현상을 불러왔다. 투자 여력이 충분한 대기업에 정보보호 예산 감소 원인으로 작용했다. 반면에 중소벤처기업은 아예 지킬 수 없는 규제가 됐다.
구태언 테크앤로 대표변호사는 “보안관련 법률이 지속적으로 강화됐지만 개인정보 침해를 비롯한 각종 보안사고는 계속 증가했다”며 “정부가 정한 가이드라인만 지키면 되고 그 이상의 보안조치를 취하지 않아도 돼 투자 의욕을 악화시켰다”고 말했다. 그는 “행정부가 정보보안 법규정을 자세하게 만들지 않으면 민사법원이 최선의 정보보안 수준을 정해 의무위반을 선언하고 손해배상을 명하는 데 보다 자유롭다”며 “법원이 손해배상을 명하는 판결을 늘리면 정보보호 담당 임원이 CEO에게 과감한 보안투자를 건의하는 데 힘을 얻는다”고 말했다.
김인순기자 insoon@etnews.com