"개인정보 유출사고 책임은 기업이 망할 수준으로 돼야한다."
토스를 운영하는 비바리퍼블리카의 신용석 정보보호최고책임자(CISO)가 12일 '디지털전환기의 금융혁신과 금융소비자보호' 토론회에서 한 말이다. 금융당국이나 국회, 시민단체가 아닌 기업에서 개인정보책임을 강화해야 한다는 발언이 나온 것은 이례적이다.
신 CISO는 "기업에서 기업의 책임을 더 강화한다는 목소리를 낸다는 게 쉽지않고 의아하다고 생각하는 분도 있지만 창업자 대표(이승건) 등 조직의 의견"이라면서 "개인정보 유출사고 과징금을 대폭 상향하는 법률 개정이 필요하다"고 강조했다.
그는 "개인정보유출은 기업에게 큰 리스크란 말이 무색할 정도로 국내 처벌은 약했다"며 "국내 법에선 개인정보유출 '관련 매출' 또는 '해당 부문'의 3%만 과징금을 부과한다"고 지적했다.
이어 "국내 개인정보유출 최고 과징금은 45억원"이라면서 "반면 유럽은 전세계 매출의 4%에 해당하는 벌금을 부과한다"고 강조했다.
일례로 지난해 유럽은 50만명의 개인정보가 유출된 영국항공에 연 매출의 1.5%인 2700억원을 과징금을 부과했고 미국은 고객 정치성향을 공화당에 판매한 페이스북에 6조원의 벌금을 물렸다.
그는 "개인정보유출 과징금이 전체 매출의 4%가 된다면 기업은 보안에 대한 투자를 현재보다 10배 이상 하게 될 것"이라고 말했다.
그는 다만 개인정보유출 관련 경영진에 대한 형사 처벌은 없애야 한다고 강조했다. 그는 "기업의 정보보안 책임자에 대한 형사적 처벌 조항을 없애는 것이 바람직하다"며 "IT 전문가가 형사적 책임 때문에 개인정보 책임자 길을 걸으려 하지 않는다"고 전했다.
신 CISO는 개인정보유출 과징금을 대폭 올리는 대신 규제를 완화해달라고 주장했다.
그는 "현재 금융권 망분리는 까다로운 규제로 남아있다"며 "보안이 약화될 것이란 우려도 있지만 전세계적으로 안보와 국방 등 특수한 경우를 제외하고 망분리를 강제한 나라는 없다"고 강조했다.
이어 "더 빠른 혁신적인 서비스를 위해 절실한 문제"라며 "글로벌 회사는 뛰는데 국내 기업은 발목에 모래주머니를 차고 뛰고 있다"고 말했다.
이날 토론회에 참석한 이상직 변호사는 개인정보 유출 과징금을 인상하는 것이 만사를 해결할 수 있는 방법은 아니라고 조언했다.
이 변호사는 "영세 업체의 경우 과징금을 부과받으면 사업을 접으면 그만이라 여긴다"며 "오히려 기업에게 개인정보 보호 조치를 명확하게 해주는 것이 중요하다"고 말했다. 이어 "정보유출이 경영진의 반 사회적 행위나 기망 등이라면 형사처벌 해야한다"고 덧붙였다.
망 분리에 대해선 "핀테크기업 등에게 어려움을 주는 부분"이라면서도 "논의의 출발점은 망분리 폐지가 아니라 망분리를 없앴을 때 무엇으로 대체할 것인지 논의가 우선돼야 한다"고 강조했다.
노태섭 금융위원회 정책전문관은 "망분리 문제는 핀테크업체에서 건의가 많이 들어오고 당국 고민도 깊다"며 "당분간은 현행 규제 수준을 유지하되 전자금융법과 관련 없는 본연의 ICT(정보통신기술) 업무와 관련해선 ‘논리적 망분리’를 할수 있는 탄력적인 유권해석을 내리고 있다"고 말했다.