[리스크 콕] 징벌적 과징금에 CEO 책임까지…개정 개보법, 기업들 '딜레마'

콕스뉴스 0 3 03.10 12:05

https://www.coxnews.co.kr/news/articleView.html?idxno=4679 + 0 https://cdn.coxnews.co.kr/rss/gn_rss_allArticle.xml + 0

9월 11일 시행되는 개정 개인정보보호법 관련 내용을 설명하는 이미지 / 사진 제미나이로 생성

앞으로 개인정보를 대규모로 유출한 기업은 ‘기업 해체’ 수준의 타격을 입을 수 있다. 정부가 고의·중과실로 1,000만 명 이상의 정보를 유출한 기업에 대해 매출액의 10%를 과징금으로 물리는 이른바 ‘핵폭탄급’ 제재안을 10일 공포했다.

정부는 개인정보 유출 사고 예방을 위해 전체 매출액의 최대 10%까지 징벌적 과징금을 부과할 수 있는 개정 '개인정보 보호법'을 9월 11일 시행한다. 최근 연이은 대규모 개인정보 유출 사고로 사회적 우려가 커진 가운데, 기업의 개인정보 보호 책임을 강화하겠다는 취지다. 하지만 기업 현장에서는 아무리 투자해도 해킹을 완벽히 막을 수 없는데, 책임만 무거워졌다는 불만이 터져 나온다.

개인정보보호위원회가 공포한 법 개정안은 ▲징벌적 과징금 도입 ▲CEO·CPO 책임 강화 ▲유출 가능성 통지 의무화 ▲ISMS-P 인증 의무화 등을 골자로 한다. 특히 최근 3년간 고의·중과실로 위반행위를 반복하거나, 1000만명 이상 대규모 피해를 초래한 경우 전체 매출액의 10%까지 과징금을 물릴 수 있다. 기존 3% 한도에서 3배 이상 강화된 셈이다.

완벽한 보안은 없다…기업들의 고민

문제는 아무리 자본을 쏟아부어도 해킹을 완벽하게 막을 수 없다는 점이다.

한 IT 기업 보안팀장은 "랜섬웨어, 제로데이 공격 등 해킹 기법은 날로 진화하는데, 방어는 항상 한발 늦을 수밖에 없다"며 "예산을 아무리 늘려도 '절대 안전'을 보장할 수 없는 게 현실"이라고 토로했다.

개정법은 '사전 예방적 투자'를 한 경우 과징금을 필수적으로 감경해주지만, 무엇을 얼마나 투자해야 '충분한 투자'로 인정받을지 기준이 모호하다. 보안 솔루션을 도입하면 되는지, 인력을 몇 명이나 늘려야 하는지, 연간 예산을 얼마나 편성해야 하는지 구체적인 가이드라인이 없다는 것이다.

지배구조 차원의 하방 리스크도 커졌다. 일정 규모 이상 기업은 CPO를 지정·변경·해제할 때 이사회 의결을 거쳐야 하고, CPO는 전문 인력 관리와 예산 확보 업무를 의무적으로 수행해야 한다. CEO는 개인정보 처리 및 보호의 최종 책임자로서 관리·감독 의무를 지게 되어, 사고 발생 시 법적 책임의 화살이 경영진을 직접 겨냥하게 됐다.

개인정보보호위원회 회의 장면 / 사진 개인정보보호위원회

외산 기업은 어떻게? '안방 규제' 역차별 논란

또 다른 의문은 외국계 기업들에 대한 실효성 있는 규제 여부다. 개인정보보호위원회가 발간한 지침에 따르면 한국 정보주체를 대상으로 서비스를 제공하는 해외 사업자에게도 법이 적용된다. 실제 2025년 1월 개인정보위는 애플에 24억원의 과징금을 부과하기도 했다.

하지만 현실적인 집행력에는 물음표가 붙는다. 외국에 본사를 둔 기업이 한국의 시정명령을 무시하거나 과징금 납부를 거부할 경우 강제할 방법이 제한적이기 때문이다. 결국 투명하게 실적이 드러나는 국내 기업들만 강도 높은 규제의 '동네북'이 되는 것 아니냐는 역차별 논란이 제기되는 배경이다.

ISMS-P 인증, 또 하나의 부담

공공·민간 분야 주요 기업에 대해서는 ISMS-P 인증도 의무화된다. 예산 확보 기간을 고려해 2027년 7월 1일부터 시행될 예정이다. 중소기업 사이에서는 대기업도 힘든 인증 절차를 중소기업이 어떻게 감당하느냐며 반발한다. 인증 준비에만 수천만원에서 수억원이 든다는 게 업계 관계자들의 전언이다.

전문가들은 개정법 시행을 앞두고 기업들이 선제적으로 대비해야 한다고 조언한다. 우선 CEO와 이사회 차원에서 개인정보 보호를 경영 의제로 다뤄야 한다. 특히 개정법은 '유출 등의 가능성이 있음을 알게 되었을 때'에도 즉시 통지하도록 의무화했다. 사고 발생 시 은폐보다는 신속한 대응 체계를 갖추는 것이 과징금 폭탄을 피할 유일한 길이다.

사후 처벌 강화보다 중요한 것은 현장이 수긍할 수 있는 구체적인 투자 가이드라인이다. 개정 개인정보 보호법이 글로벌 빅테크에 대한 집행 실효성을 확보하지 못한 채 국내 기업만 옥죄는 '안방 규제'가 될지, 아니면 실질적인 보안 선진국으로 가는 디딤돌이 될지는 향후 시행령 마련 과정에서의 소통이 중요하다.