정보유출 사고 땐 ‘과실없음’ 기업 스스로 입증해야…개인정보법 개정 추진에 업계 ‘위기감’
2026.03.03 16:40
기업의 개인정보 유출 책임을 강화한 '개인정보보호법' 2차 개정안을 두고 업계의 위기감이 고조되고 있다. 정보보안에 대한 선제적 투자를 장려하던 기존 정책 기조와 달리 해킹 사고 등이 발생하면 기업이 스스로 무과실을 입증하도록 법안이 추진되면서다.
3일 정보보안 업계에 따르면 개인정보보호위원회와 국회는 손해배상 요건 중 정보처리자의 '고의 또는 과실' 조항을 삭제하고 유출된 개인정보의 불법 유통 처벌 신설, 자료 보전 명령제 도입 등을 포함한 2차 개정을 추진 중이다.
당정은 최근 연이은 대형 정보 유출 사태 재발 방지와 피해자 구제를 위해 기업의 입증 책임을 강화하는 것이 불가피하다는 입장이다. 개인정보 유출 피해자들이 제기한 손해배상 소송에서 기업의 과실 입증이 어려워지자, 사실상 정보 유출에 대한 책임을 기업에 전면 부과한 것으로 풀이된다.
국회 관계자는 "기존 법정 손해배상 요건 중 '고의 또는 과실' 문구는 귀에 걸면 귀걸이, 코에 걸면 코걸이 식이었다"며 "기업들이 최선을 다했다고 한 마디만 해도 감경이 될 수밖에 없는 구조"라고 지적했다.
하지만 업계에서는 기업에 지우는 '무과실 책임'이 현실적인 기술적 한계를 무시한 발상이라고 반발한다. 면책 조항이 있다 하더라도 기업이 이를 완벽히 입증하는 것은 불가능에 가깝다는 것이다.
장세인 토스증권 최고정보보호책임자(CISO)는 "최근 사이버 위협은 제로데이 취약점, 공급망 공격 등 예측이 어려운 영역까지 확대돼 100% 완벽한 보안은 현실적으로 어렵다"며 "정보주체 보호 강화라는 방향성에는 공감하지만, 사고 발생 시 기업이 직접 '책임 없음'을 입증해야 하는 것은 실무적으로 상당한 부담"이라고 설명했다. 이어 "사고 발생 여부만으로 책임을 묻기보다는 당시 기술 수준과 업계 관행에 비춰 기업이 합리적인 보호 조치를 이행했는지를 종합적으로 평가하는 기준이 마련돼야 한다"고 강조했다.
업계는 눈앞의 상황에 매몰돼 땜질식 처방을 계속하는 대신, 개인정보와 보안의 기초부터 다시 세워 기업의 불확실성을 해소해야 한다고 입을 모았다. 특히 보안 인력과 예산이 부족한 중소기업들은 생존 위기에 빠질 수 있다는 지적이다.
권세화 한국인터넷기업협회 정책실장은 "한국은 외국보다 개인정보 범위가 지나치게 넓고 불필요한 인증 규제까지 겹쳐 중소기업조차 원치 않는 데이터 폭탄을 떠안고 있는 상황"이라며 "개정안의 면책 조건인 '책임 없음'은 범위가 너무 광범위하고 모호해 사실상 무과실 징벌에 가깝다"고 주장했다. 이어 "비현실적인 규제 남발을 경계하고 명확한 기준과 처리 절차 등 기초부터 다시 정립해야 산업계의 혼란을 막을 수 있다"고 덧붙였다.
이에 대해 주무 부처인 개인정보위는 기업이 고의나 과실이 없다고 주장하면 배상 책임이 없다는 법원 판결이 나오며 사실상 피해자에 대한 실질적 배상이 이뤄지지 못했던 만큼 피해자 구제가 최우선이 될 수밖에 없다고 설명했다.
개인정보위 관계자는 "기업의 책임을 강화하는 대신 안전성 확보 조치 여부 등에 따른 면책 조항을 검토해 기존의 선제적 예방 기조를 이어갈 것"이라고 설명했다.
김남석 기자 kns@dt.co.kr
저작권 보호를 위해 본문의 일부만 표시됩니다.
원문 보기 →댓글 (0)
첫 번째 댓글을 작성해보세요!
토스증권의 다른 소식
모든 소식을 불러왔습니다