SK텔레콤, KT, 롯데카드, 쿠팡, 신한카드 등 국내 유수의 기업에서 대규모 개인정보 유출사고가 잇따라 발생하면서 사회 전반적으로 불안감이 커졌다.
"내 정보가 이미 '공공재'가 됐다"는 국민들의 분노가 극에 달한 상태다. 표심을 의식한 국회는 사태가 발생할 때마다 징벌적 과징금과 과태료에 대해 목소리를 높였다. 최근에는 사실상 '폐업'에 준하는 금융제재와 영업정지, 집단소송제 카드도 내놨다. 국민들은 당장은 '사이다'처럼 느낄 수 있다.
그런데 불편하다. '기업 때리기'로 어떤 문제가 해결되나. 냉정하게 따져보면 현재 부과되는 징벌적 과징금, 사전 인증제 취소 등만으로는 진짜 문제를 해결하기 어렵다. 정작 정보를 훔쳐간 범인(해킹조직)은 누군지 모른다. 유출된 정보는 회수도 안 된다. 게다가 징벌적 과징금 강화에도 사고의 규모는 점점 커진다. 예방도 못하는 셈이다. 과도한 처벌을 지켜본 기업들은 사고를 숨기거나 증거를 없애기에 급급할 가능성이 높다. 또는 법적 책임회피를 위한 '방어적 보안'에만 치중할 터다.
문제를 해결하기 위해선 '처벌'보다 '협력'에 방점을 찍어야 한다. 기업의 잘못이 없다거나 처벌을 하지 말자는 게 아니다. 기업들이 자발적으로 혁신적 보안기술을 개발하고 공유하는 문화를 조성토록 처벌의 방향을 혁신적으로 바꾸자는 것이다.
실제 주요 선진국들은 이미 기업의 자발적 대응과 정보공유를 유도하는 유연한 정책을 시행한다. 영국의 경우 정보위원회(ICO)가 초기에 예고한 천문학적 과징금을 기업(영국항공)의 소명과 협조를 바탕으로 90% 가까이 감면해준 사례가 있다. 핵심내용은 사태발생 초기 신속하고 단호한 기술적 대응, 피해 데이터 주체에 대한 집중지원 등이었다.
미국은 기업이 해킹위협 정보를 정부와 공유할 때 법적 책임으로부터 면제해주는 강력한 인센티브를 제공한다. 범인을 잡기 위한 '정보의 연결'이 처벌보다 국가안보에 더 유리하다는 판단에서다. 싱가포르는 사이버보안청(CSA)을 통해 국가보안 거버넌스를 일원화하고 중소기업에 국산 보안솔루션 도입비용을 지원하거나 무료 보안컨설팅을 제공해 기업을 '규제대상'이 아닌 '함께 싸울 파트너'로 대한다.
우리나라도 이제 처벌 위주의 정책을 '혁신'을 유도하는 인센티브제도로 바꿔야 한다. 기업은 사고해결을 위해 혁신적인 방어기술을 신속히 개발할 수 있는 역량이 있다. 사고발생시 보안기술을 빠르게 개발하고 공유할수록 과징금 규모를 크게 감면해주는 인센티브가 필요하다. 국가 전체의 보안체력을 키운 공로를 인정해주자는 것이다. 범인 검거에 협조했을 때 파격적인 혜택을 주는 것도 필요하다. 유출사실을 숨기지 않고 범인 검거를 위한 핵심단서를 제공하는 기업에 과징금 면제에 가까운 혜택을 준다면 은폐하려는 기업이 최소화될 것이다.
국내 보안산업 생태계 보호를 위한 인센티브도 필요하다. 외산 솔루션에만 의존하지 않고 국내 중소기업의 보안기술을 적극 도입하는 기업에 세제혜택, 과징금 감면 등의 인센티브를 부여하면 국가 보안인프라 자립화에 도움이 될 것이다.
마지막으로 현재 과학기술정보통신부, 국정원, 금융감독원 등으로 흩어져 있는 산발적인 조직을 과학기술정보통신부 산하의 '사이버보안청'(가칭)으로 통합하는 것도 검토해야 한다. 현재 사이버 대응체계가 공공부문(KISA)과 민간부문(국정원)으로 이원화돼 정보공유가 지연되고 협업에 어려움이 있는 것으로 나타났다. 신속한 대응도 어렵다. 기업에 가중되는 중복규제의 부담을 줄이고 일관된 인센티브 정책을 집행하려면 컨트롤타워를 설립하는 게 합리적일 것이다.
지금 우리에겐 범인을 잡기 위해 머리를 맞대고 기술을 공유하며 국내 보안산업을 함께 키워나가는 게 필요하다. 징벌적 과징금이란 채찍에 '혁신 인센티브'라는 당근을 더할 때 비로소 국내 개인정보도 안전해질 수 있다.