정부가 최근 급증한 해킹 사고에 대응하기 위해 정보보호 종합 대책을 마련했다. 기업에 대한 제재를 강화하는 한편 자발적 신고를 유도해 신속한 대응 체계를 구축한다는 방침이다.
배경훈 부총리 겸 과학기술정보통신부장관은 22일 서울 정부청사에서 진행된 범부처 정보보호 종합대책 발표에서 "앞으로 정부는 해킹 정황이 있는 기업에 직권 조사를 실시할 수 있다"고 밝혔다. 기업이 해킹 사고를 고의로 은폐하거나 자체적으로 침해 여부를 판단하기 어려워 신속 대응이 지연되는 문제를 막기 위해 정부의 조사 권한을 강화하겠다는 설명이다.
해킹 사고를 늑장 신고하거나, 반복적인 유출 등이 발생하는 기업에 부과되는 징벌적 과징금의 수위도 높아진다. 배 부총리는 "국내에서는 개인정보 사고에 대해 전체 매출의 3%까지 과징금을 부과할 수 있지만 영국에서는 관련 매출의 10%까지 부과한다"며 "현재 과징금 부과에 대한 정책 연구를 시행 중이며 해외 사례들을 참고해 징벌적 과징금에 대한 범위와 강도를 정할 것"이라고 말했다.
신진창 금융위원회 사무처장은 또한 "전자금융거래법에 따르면 매출액의 3% 또는 50억원 등 사안별로 과징금 제도가 나뉘어있다"며 "과징금 수준을 높이기 위해선 관련 법 개정이 필요하다. 조만간 개정안을 발의해 국회에서 논의될 수 있도록 할 것"이라고 전했다. 이정렬 개인정보보호위원회 사무처장도 "TF를 구성해 제도 개선 방안에 대해 논의하고 있다. 연내로 대책을 발표할 것"이라고 말했다.
기업의 자발적인 신고에 대해서는 정상 참작이 이뤄질 전망이다. 류제명 과기정통부 2차관은 "기업에 대한 처벌이 목적이 아니라 빠른 대처가 목표"라며 "기업의 자발적 신고가 가장 바람직하다. 이를 감경 사유로 포함하는 방안을 마련할 것"이라고 말했다.
아울러 정보보호 공시 의무 대상을 상장사 전체로 확대해 기업의 자발적인 투자를 유도한다. 기존 666개 기업에서 약 2700여개의 기업으로 늘어날 전망이다. 공시 결과를 토대로 보안 역량을 등급화해 공개할 예정이다. 구체적인 등급 분류 기준은 오는 12월 종합 대책 발표 시점에 공개된다. 배 부총리는 "보안에 투자하는 비용을 기업의 성패를 좌우하는 필수적인 투자로 인식할 수 있게 할 것"이라고 강조했다.
민간 기업의 보안 책임 체계도 강화된다. 최고경영자(CEO)의 보안 책임 원칙을 명문화하고 보안최고책임자(CISO·CPO)의 권한을 확대한다. 자체적인 보안 역량이 부족한 중소기업을 지원하기 위해 지역 정보보호 지원센터를 기존 10개에서 16개까지 늘릴 예정이다.
배 부총리는 "연이은 보안 사고로 국민 피해가 지속되는 상황을 위기에 준하는 국가적 비상 사태로 본다"며 "과기정통부 등 관계 부처는 이번 종합 대책이 현장에서 제대로 작동될 때까지 실행 과정을 면밀히 살펴볼 것"이라고 말했다.
