국회 정무위원회는 지난 15일 중대한 개인정보 침해 사고가 발생한 기업에 대해 전체 매출의 최대 10%까지 과징금을 매길 수 있도록 하는 개인정보보호법 개정안을 통과시켰다. 반복적이거나 중대한 개인정보 유출이 확인될 경우 과징금 상한을 '기존 전체 매출의 3% 혹은 최대 20억원'에서 '전체 매출의 최대 10% 또는 50억원'까지 과징금을 부과토록 상향한 것이 골자다.
적용 대상은 고의 또는 중과실로 3년 이내 반복적으로 개인정보 침해 사고가 발생하거나 1000만명 이상의 대규모 피해가 발생한 경우 등이다. 중대한 정보 유출 사고가 아니라면 기존 상한인 매출의 3% 기준으로 부과된다.
그동안 개인정보 침해에 대한 제재가 '솜방망이 처벌'에 그쳤다는 비판이 이어져 온 만큼 이번 법안은 기업에 실질적인 경각심을 주기 위한 취지다. 매출 규모가 큰 대기업일수록 과징금 부담이 기하급수적으로 커질 수 있어 산업계 전반에 미칠 파장이 상당하다는 분석이다.
이재명 대통령 역시 최근 개인정보보호위원회 업무보고를 받는 자리에서 개인정보 유출 등 반복적·중대한 위반 행위에 대한 과징금 수준을 대폭 상향하라고 직접 지시했다.
현재 개인정보보호위원회와 과학기술정보통신부(과기정통부)는 쿠팡과 KT를 대상으로 각각 개인정보 유출 사고와 관련한 조사를 진행 중이다. 조사 결과에 따라 위법성이 중대하다고 판단될 경우 개정법의 입법 취지를 반영한 '고강도 처분'이 내려질 가능성이 크다는 관측이 나온다. 해당 법안이 소급 적용이 불가하지만 사회 전체의 시선이 높아짐에 따라 기존보다 강도 높은 제재가 나올 수밖에 없는 까닭이다.
해킹 사고 이후 은폐·지연 신고 등도 뇌관이다. 과기정통부는 사후 대응 과정에서의 책임과 관련해 제재 수위를 높이겠다는 입장도 분명히 밝혔다. 현재 KT가 해당 의혹으로 현미경 조사를 받고 있다.
과기정통부 관계자는 브리핑에서 "지연 신고에 대해서는 과태료를 기존 3000만원에서 5000만원으로 상향 조정했고 문제가 있는 부분을 지적했음에도 이행하지 않을 경우 이행강제금을 부과할 수 있도록 제도를 마련했다"며 "시정 요구를 이행하지 않으면 이행강제금을 1일 단위로 부과할 수 있는 장치가 법안에 포함돼 있다"고 밝혔다.
IT업계에선 이번 대통령 업무보고를 계기로 개인정보·보안 사고에 대한 규제의 '게임의 룰'이 바뀌었다는 평가가 나온다. 특히 매출 연동 과징금을 넘어 영업정지 및 번호이동 고객 위약금 면제 등 추가적인 제재 가능성이 거론되는 만큼 KT 등 대형 사고 기업들은 조사 결과에 따라 중대한 후폭풍을 맞을 수 있다는 관측이 나온다.
<저작권자 © ‘재테크 경제주간지’ 머니S, 무단전재 및 재배포 금지>