정보유출 엄벌 기조… 기업 "자진신고 위축" 우려

통신업계 이어 쿠팡 등 해킹 사고
최대 수조원대 배상금 내야할수도
"정부 감독 강화·구제정책 필요성"

정부가 대규모 개인정보 유출 사고가 발생한 기업에 대해 징벌적 과징금 도입 등 '엄벌주의' 기조로 일관하면서 기업의 자진 신고를 위축시킬 수 있다는 목소리가 높아지고 있다. 거세지는 사이버 위협은 개별 기업 차원에서 대응하기 한계가 있고, 정부의 소홀한 감시·감독도 정보 유출 원인으로 지목되는데도 기업에만 과도한 책임을 지우고 있다는 지적이다.

17일 업계에 따르면 최근 시민단체들이 쿠팡 일반회원 및 탈퇴회원에 대해 최소 30만원을 지급하라는 내용의 분쟁조정 신청을 개인정보보호위원회 등에 접수한 가운데 쿠팡은 정부 측 조정안이 나와도 이를 거부할 것으로 예상된다.

앞서 지난 11월 SK텔레콤도 개인정보보호위 분쟁조정위원회가 1인당 30만원 조정안을 제시했지만, 유출 사고 후 사측이 취한 선제적 보상과 재발 방지 조치가 반영되지 않았다는 이유를 들어 수용하지 않은 바 있다.

전체 피해자가 동일 조건으로 조정을 신청해 성립될 시 지급해야 할 배상금만 수조원에 달해 사실상 기업 투자 활동이 '올스톱' 될 수 있다는 우려스런 기류가 경영계에 확산되고 있다.

정부가 민간기업에만 천문학적 과징금을 부과하면 오히려 시장 효율과 제도 신뢰를 떨어뜨릴 수 있다는 주장도 제기된다. 대규모 배상과 조정금 상쇄를 위해 투자 축소, 고용 조정,서비스 단가 인상 등의 부작용이 일어날 가능성이 높다는 것이다. 또 기업 부담을 최대한 낮추기 위해 보안 투자나 신규 채용을 줄이거나, 서비스 요금을 조정하는 방식을 택할 경우 소비자 가격 인상, 서비스 품질 저하로 이어질 가능성이 높다.

무엇보다 국가가 공인하는 국내 최고 수준의 보안인증인 정보보호 및 개인정보보호관리체계 인증(ISMS-P) 심사를 통과한 기업들이 정보 유출 피해를 입어 정부도 책임을 피하기 어려운 상황이다. 정부가 처벌 위주 대책에 주력하면서 향후 유출 사고가 나도 기업들의 신고 지연이나 자진신고 기피 현상을 부추길 수 있다는 우려가 높아지고 있다.

이에 자진신고 기업에 대해 제재 감면, 조건부 유예제 도입 등을 검토해야 한다는 지적이 제기된다. 분쟁조정 시 피해의 실재성, 정보 민감도, 2차 피해 가능성 등에 따라 조정 수준을 차등화할 필요가 있다는 목소리도 나온다.

업계 관계자는 "개인정보 유출이라는 중대 사안에 대해 반드시 기업의 책임이 뒤따라야 한다"면서도 "하지만 기업이 신속하고 유연하게 사후 복원 노력을 하도록 하고 소비자의 실질적 구제를 유도하도록 하는 정책이 필요하다"고 말했다.

mkchang@fnnews.com 장민권 기자