빗썸, 여기어때, 하나투어 등의 법인과 책임자가 개인 정보 유출에 대한 책임으로 재판에 넘겨졌다. 검찰은 3개 회사 법인과 개인 정보 관리 책임자를 각각 정보통신망법 위반 혐의로 불구속 기소했다. 검찰은 3개사와 책임자가 개인 정보 수집·보유·이동 처리 과정에서 기술적·관리적 보호 조치를 소홀히 해서 피해를 야기했다고 설명했다.
검찰은 이번 사건뿐만 아니라 앞으로 개인 정보 유출과 개인 정보 처리 기업의 보호 조치 의무 위반 시 엄정 처분 방침을 밝혔다. 기업은 반드시 고객 정보를 안전하게 관리해야 할 의무가 있다. 개인 정보를 소홀히 관리한 기업은 처벌 받아야 한다.
그런데 이번 일을 두고 보안 담당자와 정보 보호 기업은 초상집 분위기다. 해당 기업뿐만 아니라 개인 정보 보호 담당자가 업무를 보다 고의가 아닌 관리 소홀로 형사 기소됐기 때문이다.
과거보다 많이 나아지긴 했지만 국내 기업의 정보 보호 투자는 여전이 미흡한 수준이다. 최고경영자(CEO)도 정보 보호는 투자라기보다 비용이라고 생각한다.
이런 분위기 속에서 형사 기소는 묵묵히 일해 온 정보 보호 담당자의 사기를 바닥으로 끌어내린다. 정보 보호 담당자에게 일에 대한 자부심은커녕 직업을 바꾸고 싶을 정도의 회의를 하게 만든다. 법 지식도 없는 데다 업무만 담당하던 사람이 법정에 섰을 때 받는 스트레스는 상상을 초월한다. 범법자가 될 지도 모른다는 불안감이 엄습한다.
5세대(5G) 이동통신 상용화 등으로 네트워크 연결이 늘어나면서 사이버 위협은 급증하고 있다. 정보 보호 인력 수급은 여전히 어렵다. 인재를 길러도 모자랄 판에 이쪽 분야에서 일하면 형사 기소될 가능성까지 있다.
우리 개인정보보호법은 2014년 KB국민카드, NH농협카드, 롯데카드 등 금융권의 개인 정보 유출 사고 등으로 더욱 강화됐다. 영국 시장 조사 컨설팅 기업은 한국이 경제협력개발기구(OECD) 국가 가운데 가장 높은 수준의 개인 정보 보호 규제를 적용했다고 평가했다.
세계 어느 나라도 정보 보호 침해 사고나 개인 정보 유출 사고 시 정보기술(IT) 인력을 형사 처벌하는 곳은 없다. 유럽연합(EU)은 지난해 5월 25일부터 개인정보보호규정(GDPR)을 시행했다. EU에 거주하는 국민이나 정보 주체의 개인 정보 보호를 위해 마련된 법안이다. GDPR는 정보 주체의 권리와 기업의 정보 보호에 대한 책임성이 강화됐다.
기업은 GDPR 위반 시 세계 매출의 2~4% 또는 1000만~2000만 유로라는 높은 과징금을 물어야 한다. 그 어떤 규정에도 정보 보호 담당자에 대한 형사 기소는 없다. 오히려 개인정보책임자(DPO)를 지정, 체계적 관리를 명시했다. 국민의 정보를 보호하면서 체계적으로 관리하려는 목적이다. 기업 내에서 DPO의 권한을 강화했다.
은행에 강도가 들어서 현금을 강탈했다 해도 은행의 '현금보호책임자'가 형사 처벌을 받지 않는다. 그러나 은행에서 개인 정보가 유출되면 개인정보책임자는 형사 처벌을 받을 수 있다.
기업의 보안 수준을 높이지도 못하고 우수 인력이 떠나게 만드는 과도한 개인 정보 유출 사고에 대한 형사 책임제를 이대로 유지해야 하는지 논의를 시작해야 할 때다.
김인순 SW융합산업부 데스크 insoon@etenws.com