"보안사고 정부조사 적극 협조해라"…이행 강제금 제도 도입 추진
2026.04.09 18:00
기업의 고의적 조사 지연 행위 막는 '이행강제금' 도입
개인정보위·과기부, 보안기업 현장 간담회 개최
보안업계, 화이트해커 양성 위한 국가적 투자 주문
개인정보보호위원회와 과학기술정보통신부는 9일 서울 금천구 파이오링크에서 열린 '개인정보·정보보호 산업 발전을 위한 현장 간담회'에서 이 같은 내용을 담은 2차 추가 입법 계획을 공개했다.
보안 사고시 입증 책임, 기업에 부여…소송 패러다임 바뀐다
정부가 대규모 보안 사고 발생시 기업 책임을 대폭 강화하는 '2차 추가 입법'을 추진한다. 단순 과징금 부과를 넘어, 보안 사고 관련 소송에서 기업이 스스로 과실이 없음을 입증하도록 하는 '입증 책임 전환'과 조사 방해 행위에 대한 '이행강제금' 도입이 핵심이다.
개인정보보호위원회와 과학기술정보통신부는 9일 서울 금천구 파이오링크에서 열린 '개인정보·정보보호 산업 발전을 위한 현장 간담회'에서 이 같은 내용을 담은 입법 계획을 공개했다.
이번 조치는 반복되는 개인정보 유출 사고에 대응해 기업 책임을 강화하고, 피해자 권리 구제를 실질적으로 보장하기 위한 것이다. 특히 정보 비대칭 구조를 개선해 소송 환경을 바꾸겠다는 점에서 제도 전환의 의미가 크다는 평가다.
보안 사고 소송 구조 바뀐다…입증 책임 기업으로
2차 입법안의 핵심은 손해배상 소송에서의 입증 책임 전환이다. 그동안 보안 사고로 인해 자신의 개인정보가 유출된 피해자들은 기업의 관리 소홀을 직접 증명해야 했다. 하지만 고도의 기술적 방어 체계를 갖춘 기업의 과실을 개인이 입증하는 것은 사실상 불가능에 가깝다는 지적이 꾸준히 제기되어 왔다.
정부는 이러한 구조적 한계를 해소하기 위해 입증 책임을 개인정보 처리자인 기업으로 전환하기로 했다. 앞으로 보안 사고가 발생하면 기업이 스스로 "적절한 보안 조치를 모두 이행했고 과실이 없었다"는 점을 입증해야 한다.
이를 증명하지 못할 경우 손해배상 책임을 피하기 어려워진다. 정부는 법정 손해배상 제도도 강화해 기업의 책임성과 경각심을 동시에 높이겠다는 방침이다.
조사 방해하면 즉각 제재…이행강제금 도입
2차 입법안에 따르면 보안 사고 발생 이후의 조사 과정에서도 강력한 제재 수단이 마련된다. 일부 기업들이 자료 제출을 거부하거나 조사에 비협조하며 시간을 끄는 행위를 차단하기 위해 '이행강제금' 제도가 도입된다. 조사 지연 행위에 대해 매일 일정 금액을 부과함으로써 법 집행의 실효성을 높이겠다는 의지다.
또한, 보안 사고를 통해 유출된 정보를 유통하거나 판매하는 행위에 대한 처벌 규정도 정비한다. 개인정보의 불법 거래 자체를 범죄로 규정해 2차 피해를 원천 차단하겠다는 취지다.
이와 함께 사고 직후 추가 유출을 막기 위한 '긴급 보호조치' 권한도 도입된다. 정부가 즉각적인 보안 조치를 명령할 수 있는 법적 근거가 마련되는 셈이다.
임정규 과기정통부 국장은 "침해 사고가 반복되는 기업에 대해 이행강제금 및 과징금을 부과하는 제도를 통해 기업의 책임을 강화할 것"이라며 "시행령 등 세부 조항을 마련하는 과정에서 보안 업계와 긴밀히 소통해 현장에서 실효성 있게 작동하는 제도를 만들겠다"고 약속했다.
보안 사고시 매출 10% 징벌적 과징금 도입
한편, 정부는 오는 9월 11일 시행되는 개인정보 보호법과 10월 1일 시행되는 정보통신망법의 주요 개정 사항을 설명했다.
개인정보 보호법 개정안은 징벌적 과징금 도입과 개인정보 보호책임자(CPO)의 책임 강화를 골자로 한다. 특히 중대 사고 발생 시 과징금 부과 기준을 전체 매출액의 최대 10%로 상향해 기업의 경각심을 높였다. 또한 유출이 확정된 경우뿐만 아니라 "유출 가능성"이 포착된 경우에도 정보 주체에게 통지하도록 의무화했다. 대규모 개인정보 처리 기관을 대상으로 ISMS-P 인증 의무화도 확대된다.
정보통신망법 개정안은 침해 사고에 대한 정부의 조사 권한을 강화했다. 해킹 사고가 공식 신고되지 않더라도 침해 정황이 확인되면 정부가 즉각 조사에 착수할 수 있는 근거를 마련했다. 사고 은폐나 신고 지연에 대한 과태료를 상향하고, 재발 방지 조치를 이행하지 않거나 침해 사고가 반복되는 기업에는 이행강제금 및 과징금을 부과할 수 있는 제도를 도입했다. 또한 정보보호최고책임자(CISO)의 권한과 역할을 강화해 실질적인 보안 업무 효율을 높이도록 했다.
보안업계 "시민의식 강화, 화이트해커 양성 필요"
이날 간담회는 개인정보 보호법과 정보통신망법 개정안에 따른 보안 투자 수요를 산업 성장으로 연결하기 위해 마련됐다.
간담회에 참석한 보안 기업 관계자들은 법적 제재 강화와 더불어 현장의 실질적인 지원이 병행되어야 한다고 입을 모았다. 정부는 현장의 의견을 정책에 반영해 제도 완성도를 높이겠다는 입장을 밝혔다.
"AI 발전으로 해킹이 고도화되면서 단순 대응이 아닌 사전 점검과 모의해킹이 필수적인 단계로 들어섰습니다. 공공은 예산, 기업은 비용 부담으로 도입이 쉽지 않은 만큼, 사전 예방 활동을 수행한 기업에 대한 인센티브 등 제도적 지원이 필요합니다. 동시에 실제 역량을 갖춘 화이트해커 인력 양성도 함께 이뤄져야 합니다."(라온시큐어 윤원석 부사장)
"한국의 정보보호 정책과 제도는 이미 세계적 수준이며, CISO(정보보호최고책임자)의 권한과 힘은 미국보다 오히려 강력합니다. 보안 사고는 기술적 결함보다 내부의 사소한 실수와 무지에서 비롯되는 경우가 많습니다. 과거 거리의 침 뱉기나 껌 버리기 습관이 개선된 것처럼 보안의 중요성을 시민 의식으로 정착시키는 범국민적 캠페인이 필요합니다."(마크애니 최고 대표)
정부는 이러한 현장 의견을 하반기 시행령 및 세부 정책에 반영하겠다는 방침이다.
송경희 개인정보위 위원장은 "사후 대응 중심에서 사전 예방 중심으로 정책의 패러다임을 전환하고 있다"며 "기업의 자율적인 보안 투자가 산업의 선순환 생태계를 만들고 국민의 개인정보 보호 수준 향상으로 이어지도록 환경을 조성하겠다"고 밝혔다.
류제명 과기정통부 제2차관 역시 "이번 법 개정은 우리 사회의 정보보호 체계를 강화하는 새로운 초석이 될 것"이라며 "제도 개선이 산업 성장으로 직결될 수 있도록 업계와 긴밀히 소통하겠다"고 강조했다.
저작권 보호를 위해 본문의 일부만 표시됩니다.
원문 보기 →댓글 (0)
첫 번째 댓글을 작성해보세요!
범죄의 다른 소식
모든 소식을 불러왔습니다