배경훈 부총리 "해킹 침해 때 기업 과징금 강화…매출 3% 부과 연구"

금융위, 전자금융거래법 개정 통해 금융기관 징벌적 과징금 상향

CEO 보안 책임 명문화 고민

(서울=연합인포맥스) 윤영숙 기자 = 정부가 해킹 등으로 인해 개인정보 유출 사고가 반복 발생하거나 신고를 지연할 경우 기업에 대한 과태료나 과징금을 대폭 상향할 방침이다.

배경훈 부총리 겸 과학기술정보통신부 장관은 22일 정부서울청사에서 가진 '범부처 정보보호 종합대책' 브리핑에서 "정보통신망법으로도 개인정보 유출이나 금융 관련 이슈는 전체 매출의 3% 이하의 과징금을 부과할 수 있도록 정책 연구를 진행하고 있다"고 밝혔다. 배 부총리는 "외국에도 관련 매출의 10%를 부과하는 사례도 있어, 해외 사례들을 종합적으로 검토해 징벌적 과징금에 대한 정책 범위와 강도를 정해 나갈 예정"이라고 설명했다.

◇ 기업 과징금 규모 강화 방침…조만간 제도 마련

개인정보위원회는 지난해 개인정보보호법 개정을 통해 과징금 상한을 '위반행위 관련 매출액의 3%'에서 '전체 매출액의 3%'로 상향한 바 있다.

개보법은 개인정보 처리자가 개인정보를 분실·도난·유출당한 경우 매출의 3% 이내에서 과징금을 부과할 수 있게 돼 있다. 그러나 개보법이 적용되려면 주민등록번호가 다른 정보와 결합해 신용정보화되지 않고 이름, 주민등록번호, 생년월일 등 순수 개인정보만 유출되어야 한다.

개보위는 최근 SK텔레콤[017670] 정보유출 사태와 관련해 개인정보보호책임자 지정 및 업무 수행 소홀, 개인정보 유출 통지 지연 등을 문제 삼아 매출액의 1%인 1천348억원의 과징금을 부과했다.

배 부총리는 "징벌적 과징금은 패널티를 무조건 주기 위한 제도를 만들겠다기보다는 보안에 대한 적극적 투자를 유도하려는 것"이라며 "적극적으로 투자하는 기업에는 인센티브를 제공하는 방안을 마련할 것"이라고 설명했다.

동석한 신진창 금융위 사무처장도 금융기관과 관련해 "금융기관도 징벌적 과징금을 상향 검토하고 있다"고 말했다.

그는 "전자거래금융법에서는 과징금은 사안별로 매출액 3%, 50억 이런식으로 분산돼 있다"라며 "이를 전반적으로 높이는 쪽으로 검토하고 있으며 이는 전자금융거래법 개정이 필요하다"고 말했다. 금융위는 조만간 개정안을 발의해서 정기 국회에서 논의될 수 있도록 준비할 예정이다.

이어 이정렬 개인정보보호위원회(개보위) 사무처장도 "개인정보 보호법을 개정해서 기존 위반 행위에 대해 관련 매출액의 3%를, 전체 매출액의 3%로 상향했으나 이에 부족하다는 우려가 있어 별도 TF를 만들어 조만간 제도를 만들어 연내에 발표할 예정"이라고 말했다.

◇ 全상장사 정보보호공시 의무화…금융기관은 비상자사도

민간기업의 경우 상장사 전체에 정보보호 공시를 의무화하고, 이를 바탕으로 보안 등급제를 도입한다. 현재 정보보호 공시 의무는 666개 사에 국한돼 있으나 이를 상장사 전체인 2천700여개로 확대하겠다는 것이다. 상장사뿐만 아니라 해외 플랫폼들도 정보보안 의무 공시에 포함하도록 할 방침이다.

배 부총리는 "정보보호 공시는 기업들은 부담이 될 수 있다"라며 "그러나 대신 투자를 늘려 안전한 정보보안체계를 통해 소비자들에게 제공하는 서비스나 제품에 대한 신뢰를 높이는 계기가 될 수 있을 것"이라고 설명했다.

신진창 금융위 사무처장은 "금융권은 비상장회사도 정보보안 공시에 포함하는 방안을 발의할 예정"이라고 말했다.

기업 CEO의 보안 책임 원칙을 법에 명문화하고 보안최고책임자(CISO·CPO)의 권한도 대폭 강화한다.

배 부총리는 법의 명문화가 CEO의 해임도 가능하냐는 질문에는 "전체 결정에 의사 결정자인 (기업의) CEO도 책임에서 자유롭지 못하기 때문에 CEO가 보안 책임을 법적으로 가지도록 법령상 명문화를 고민하고 있다"고 설명했다.

신진창 금융위 사무처장은 특정 카드사의 정보유출건을 언급하며, 현재 금융감독원 조사가 진행 중이며, 조만간 정리가 될 예정이라며 사안에 따라 CEO 해임까지도 법적으로 가능하다고 설명했다.

다만 CEO의 책임 등에 대해서는 구체적으로 어떤 책임이 있는지 등은 검사 결과를 통해 보고 판단할 예정이라고 덧붙였다.

◇ 정부 직권 조사 가능…IT시스템 전수 조사 시행

한편, 기업 신고 없이도 정부가 현장 조사를 개시할 수 있도록 조사 권한도 확대된다.

배 부총리는 "기존에는 해킹이나 침해 사고 발생 시 신고를 하지 않으면 조사할 수 없었다"며 "정부가 직권 조사를 하겠다는 게 이번 대책의 가장 큰 차이점"이라고 설명했다.

정부는 당장 연내에 1천600개 IT시스템에 대한 대대적 보안 취약점을 점검한다. 여기에는 공공기관 기반 시설 288개, 중앙·지방 행정기관 152개, 금융업 261개, 통신·플랫폼 등 ISMS 인증기업 949개 등이 포함된다.

류제명 과기정통부 2차관은 "통신 3사는 실전 모의 해킹 방식이 아니라 실전 침투 테스트를 할 예정"이라며 "외부전문가를 활용해 통신 3사 망을 통해 불시 점검 형식으로 전면적인 취약점을 분석하려고 한다"고 말했다.

나머지 기업들의 시스템에 대해서는 기업의 CISO에 자체 점검을 요청, 이후 정부에 자료를 제출하도록 안내할 예정이라고 말했다.

류 차관은 "지금 IT 관련 공격 양상이나 실제 벌어지는 것을 비상사태 수준으로 인식하고 있다"라며 "기존에는 사고가 발생한 특정지점 위주로, 국지적 관점에서 조사를 진행했다면 지금은 종합적으로 보겠다는 것"이라고 말했다.

류 차관은 침해사고의 지연 보고 논란과 관련해서는 "지연 보고 시 과태료와 같은 징벌적 조치도 있지만, 자발적 신고가 바람직하다"라며 "그래야 신속한 대응이 가능하다. 이 때문에 자발적 신고는 감경 사유로 포함하는 방안도 검토하고 있다"고 설명했다.

배 부총리는 마지막으로 "이번 해킹 이슈에서도 정부의 책임이 크다고 생각한다. 정부의 책임을 부인할 수 없고, 해킹 이슈에서 자유롭지 못하다는 점을 인정한다"고 말했다.

그는 "정부 차원에서는 무조건적인 제재를 통해 기업을 압박하기보다 공동으로 같이 기업도 해결하길 원한다"라며 민간의 협조를 당부했다.

ysyoon@yna.co.kr