“과징금 경쟁보다 일관된 기준 필요”…사후규제·보안 거버넌스 전환 제언
[더파워 한승호 기자] 자유기업원이 쿠팡 개인정보 유출 사고에 대한 제재와 관련해 기업 책임은 분명히 물어야 하지만, 과징금 부과는 비례 원칙에 따라 신중하게 이뤄져야 한다고 주장했다.
자유기업원은 11일 논평을 내고 개인정보보호위원회가 쿠팡 개인정보 유출 사건에 대해 6246억8100만원의 과징금과 1680만원의 과태료 부과를 결정한 데 대해 “대규모 이용자 정보를 보유한 플랫폼 기업에서 발생한 개인정보 유출 사고라는 점에서 가볍게 볼 수 없다”면서도 “과징금 규모가 지나치게 과도하면 비례 원칙에 어긋날 수 있다”고 밝혔다.
자유기업원은 개인정보가 디지털 경제의 핵심 자산이자 소비자 신뢰의 기초인 만큼 기업의 보안 책임과 관리 의무는 당연하다고 전제했다. 다만 개인정보 보호의 중요성이 무제한적이거나 상징적인 제재를 정당화하는 것은 아니라고 지적했다.
논평은 행정제재가 여론의 강도나 기업 규모가 아니라 법과 원칙에 따라 이뤄져야 한다는 점을 강조했다. 과징금 산정도 유출 건수만이 아니라 유출 정보의 민감도, 고의 또는 중과실 여부, 실제 피해와 2차 피해 발생 여부, 사고 인지 및 신고 시점, 사후 대응과 재발 방지 노력 등을 종합적으로 고려해야 한다는 입장이다.
자유기업원은 쿠팡 측이 사고 인지 시점, 유출 정보의 성격, 2차 피해 확인 여부, 자체 정보 회수 노력 등을 감경 사유로 주장하고 있다는 점도 언급했다. 그러면서 이 같은 사정이 기업 책임을 면제하는 근거가 될 수는 없지만, 제재 수위를 정할 때 비례성과 형평성 차원에서 검토돼야 한다고 봤다.
일부 여론에서 법정 최고 수준의 과징금을 요구한 데 대해서도 우려를 나타냈다. 개인정보 유출 사고에 대한 강한 경고 필요성은 이해할 수 있지만, 제재 수위를 사전에 최고 수준으로 요구하는 방식은 행정제재를 여론재판으로 흐르게 할 위험이 있다는 주장이다.
자유기업원은 제재의 목적이 기업을 공개적으로 응징하는 데 있는 것이 아니라 개인정보 보호 수준을 높이고 재발 방지를 유도하는 데 있다고 강조했다. 실제 피해와 위반 행위의 성격을 넘어선 과도한 제재는 기업의 보안 투자 확대보다 법적 불확실성과 규제 회피를 키울 수 있다고 지적했다.
개인정보 보호 규제체계 전반에 대한 개선 필요성도 제기했다. 자유기업원은 그동안 개인정보 보호 정책이 동의서, 고지 의무, 내부관리계획, 인증과 절차 준수 등 사전규제와 형식적 컴플라이언스에 치우친 측면이 있다고 평가했다.
디지털 플랫폼, 클라우드, 인공지능, 데이터 결합이 일상화된 환경에서는 정부가 모든 위험을 사전에 세세하게 규정하고 통제하기 어렵다는 것이다. 이에 따라 사고 발생 시 실제 관리책임, 피해 여부, 대응의 신속성, 재발 방지 조치의 실효성을 중심으로 책임을 묻는 사후규제 방식으로 전환할 필요가 있다고 제언했다.
정부 역할에 대해서도 처벌 중심에서 벗어나야 한다고 밝혔다. 개인정보 유출과 사이버 보안 위협은 국가 디지털 인프라의 안정성과 연결되는 만큼, 위협 정보 공유, 침해 사고 대응, 보안 취약점 진단, 중소·중견기업 보안 역량 강화 등을 지원하는 국가 차원의 보안 거버넌스가 필요하다는 주장이다.
자유기업원은 “이번 결정은 쿠팡 한 기업에 대한 제재를 넘어 향후 디지털 플랫폼과 대규모 이용자 정보를 보유한 기업 전반에 적용될 기준선이 될 수 있다”며 “개인정보보호위원회는 개인정보 보호의 엄정함을 분명히 하되, 법적 안정성과 예측 가능성을 훼손하지 않는 합리적 기준을 제시해야 한다”고 밝혔다.
이어 “개인정보 보호의 실효성은 최고 수위 과징금 경쟁이 아니라 법과 원칙에 따른 일관된 제재, 기업의 자발적 보안 투자, 정부의 체계적인 보안 지원에서 나온다”고 덧붙였다.
한승호 더파워 기자 hansh1975@thepowernews.co.kr
이미지 확대보기
