2020-07-15 17:40 (수)
범죄자 양산하는 개인정보보호법, 형벌 조항 삭제…대표와 법인 과징금으로 개정돼야
상태바
범죄자 양산하는 개인정보보호법, 형벌 조항 삭제…대표와 법인 과징금으로 개정돼야
  • 길민권 기자
  • 승인 2020.02.18 18:27
이 기사를 공유합니다

실질적 개인정보보호에도 도움 안되는 조항…행안부·개인정보보호위원회 적극적 논의 필요해

“개인정보 유출 사고가 발생하면 보안책임자가 형사처벌을 받고 범법자가 되는 상황에 누가 개인정보보호나 정보보안 업무를 하려고 하겠어요. 정부에서 보안인력 양성해야 한다고 말만 하지 말고 실질적으로 이런 법부터 개정해야 해요. 유출 사고 터지면 범죄자 되는 마당에 누가 보안 분야에 종사하려고 열심히 공부하겠어요. 회사 내에서도 보안팀은 힘없는 조직이고 최소한의 예산으로 최선을 다해 보안업무를 하고 있어요. 하지만 지금 해킹 수법들이 날로 고도화되고 있는 상황에 100% 보안을 하기란 힘든 상황이에요.”

최근 개인정보 유출 사고 발생시 개인정보보호법에 따른 법원의 개인정보보호 책임자에 대한 처벌 판결이 이어지는 가운데 국내 대형 인터넷 기업 CPO가 한 말이다.

지난 2월 12일 법원은 2017년 발생한 가상화폐 거래소 빗썸 개인정보 유출 사고에 대해 법정 최고 금액인 3천만원을 법인뿐만 아니라 개인정보보호책임자 이모씨에게도 각각 선고했다.

법원은 또 2017년 고객정보 46만건과 임직원 3만명 정보 유출 혐의로 지난 1월 6일 하나투어 개인정보관리책임자 김모씨에게 벌금 1천만원을 선고한 바 있다. 물론 법인에게도 1천만원 벌금이 선고됐다.

한국의 개인정보보호법과 정보통신망법에만 전세계 어디에도 없는 보안담당자 형사처벌 조항이 들어있다. 하지만 국내 모든 개인정보보호책임자(CPO)들은 이 조항이 개인정보유출 방지에 전혀 실효성이 없다며 개정을 요구하고 있다.

실제 국회에서도 이와 관련 개인정보보호법 개정안이 올라와 있다.

김병관(더불어민주당) 의원은 지난 2019년 10월 15일 ‘개인정보보호법 일부개정법률안’을 대표발의했다. 발의 의원은 김병관․강훈식․김관영.김영진․김진표․김현권.안호영․윤영일․이원욱.전현희․정성호 의원 등 11명이다.

출처. 김병관 의원 블로그 이미지.
출처. 김병관 의원 블로그 이미지.

김병관 의원은 “현행법에는 기술적 안전성 확보에 필요한 조치가 미흡해 개인정보가 유출되었을 경우 개인정보보호 담당자를 형사처벌까지 할 수 있도록 규정하고 있다. 하지만 해커들은 제로데이 공격 등 고도화된 사이버공격을 감행하고 있다. ‘제로데이 공격’의 경우 보안담당자는 속수무책으로 당할 수밖에 없다”며 “개인정보보호책임자(CPO)는 이러한 해킹 등에 대응하기 위해 정보시스템에 방화벽을 구축하는 등 개인정보 유출 방지를 위한 기술적 안전성 확보조치를 취하고 있지만 기술적으로 진보해 가는 해커에 의한 사이버 공격을 막지 못해 개인정보보호 업무 담당직원이 기소되는 사례가 발생하고 있다”고 전했다.

이어 “이로 인해 우수한 정보보호 인력이 개인정보보호 업무를 회피하는 결과가 초래되고 있으며, 이는 장기적으로 국가적인 개인정보 보호수준 하락이 예상된다. 유럽의 GDPR과 주요 국가에서는 중대한 고의적인 침해행위에 대해서는 형사처벌을 규정하고 있지만, 개인정보보호에 대한 기술적·관리적·물리적 안전성 확보 조치를 취하지 않아 개인정보가 유출되었을 경우에는 과징금을 부과하고 있다”며 “특히 고의성이 없는 단순한 기술적·관리적·물리적 안전성 확보 조치 위반의 경우 고의적인 침해행위에 비해 가벌성이 낮고, 기술적·관리적 조치의 경우 기업 차원에서의 대비가 필요한 측면이 크다”고 설명했다.

이에 김 의원은 개정안 발의 취지에 대해 “안전성 확보에 필요한 조치를 하지 않아 개인정보를 분실·도난·유출·위조·변조 또는 훼손당한 경우에 적용하는 형사처벌의 벌칙은 삭제하고 법인에게 과징금을 부과해 개인정보 보호책임자와 실무자에 대한 법적 보호조치를 마련하고 기업의 책임을 강화하기 위해 개정안을 발의하게 됐다”고 밝혔다.

개정 법안 주요 내용은 벌칙 규정인 개인정보보법 제73조제1호를 삭제하고 안전성 확보에 필요한 조치를 하지 않아 개인정보를 분실·도난·유출·위조·변조 또는 훼손당한 경우에는 해당 법인의 대표자나 법인에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다는 내용을 신설하자는 것이다.

하지만 이 법안은 지난해 10월 16일 행정안전위원회 심사를 끝으로 계류중이다.

이날 심사소위에서 행정안전부 윤종인 차관은 “고의로 안전성 확보 조치를 하지 않은 자에 대해서까지 형사 처벌을 배제할지 그 부분에 관한 판단이 지금 정부로서는 좀 검토가 되어야 한다는 입장”이라며 “종합적으로 지금 갖고 있는 형사 처벌에 관한 이런 조항들을 장기적으로 미세 조정을 해서 과징금으로 바꿔 나가야 된다는 측면에 있어서는 공감을 하면서도, 지금 형벌을 일거에 다 없애서 과징금으로 바꿀 수 있는지에 대해서는 정부로서 조금 더 신중한 검토와 연구가 필요하다”고 개정안에 대한 반대의사를 표했다.

이에 김병관 의원은 “이번 개정안은 발의한 의원들 의견이기도 하지만 기존에 방통위에서 입법 권고를 한 내용이다. 또 사실 정부 차원에서 1, 2년 전부터 개정해야 한다는 말이 나왔다. 그런데도 계속 추후 종합적으로 재검토하자는 말만 하고 있다. 지금까지 뭐하고 있었냐”며 “행정안전부와 개인정보보호위원회 모두 검토하겠다고 말만하고 있다. 하지만 한 번도 제대로 검토 된 적이 없다. 문제가 있다. 개인정보 책임자 형벌 조항은 많은 곳에서 여러 차례 지적이 되어 왔다. 개정이 반드시 필요한 조항이다”라고 강조했다.

국내 모 대기업 CPO는 “현행 개인정보 책임자 형사처벌 조항은 CPO에게 권한을 넘어 과도한 책임을 부과하고 있으며 실질적 효과도 없다. 이런 상황에 CPO는 형사처벌만 면하려고 하지 실제로 조직의 비즈니스에 맞는 개인정보보호 노력을 할 수 없게 된다. 그리고 개인정보보호는 CPO 혼자 하는 것이 아니라 CIO, CISO 업무와 협업이 필요한 부분이 상당히 많고 최종적으로 CEO가 예산이나 조직 구축 등 업무 환경에 승인을 해 줘야 만 가능한 업무다. 그럼에도 불구하고 십자가를 CPO 혼자 지라는 것은 말이 안된다”고 지적했다.

최동근 전 CISO협의회 회장은 “GDPR 등 전세계 어디에도 개인정보보호 책임자에 대한 형사처벌 규정은 없다. 법인이나 대표가 사고에 대한 책임을 지는 것이 합당하고 책임자는 회사 내규에 따르면 되는 일이다. 국회에도 개정안이 올라 와 있는 만큼 조속히 개정안이 통과되길 바란다”고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★