범죄조직화된 해킹… 기업책임 강화해야

IT예산 5%이상 보안투자, 유럽 50% 반면 한국 3% 불과
'징벌적 손해배상제'도입 검토… 입증책임도 기업이 져야

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


■ 사이버 강국 만들자
(중) `사이버`로 무대 옮긴 조폭


해킹 범죄는 전 세계적으로 동일하게 발생하고 있으나 유독 IT강국이라 자처하는 대한민국에서 사고가 빈발하는 이유는 기업의 책임이 상대적으로 가볍기 때문이라는 지적이 나온다. 기업이 해킹 방어를 위해 투자하는 것보다 사고가 터졌을 때 이를 무마하는 비용이 상대적으로 적어 제대로 된 보안 투자를 하지 않고 있다는 것이다.

7일 업계와 전문가들은 사이버 범죄로부터 안전한 사회를 만들기 위해서는 무엇보다 '기업의 책임'을 강화해야 한다고 목소리를 높인다.

이유는 해킹과 이로 인한 정보유출 사건이 갈수록 범죄조직에 의해 치밀하고 계획적으로 진화하는 추세이기 때문이다.

실제로 최근 경찰이 검거한 보이스피싱 및 전자금융사기단을 보면 적게는 십수명에서 많게는 120명까지 조직을 갖추고 한국과 중국을 오가며 국제적인 사기 행각을 벌인 행각이 드러나고 있다.

김승주 고려대 정보보호대학원 교수는 "해킹 범죄가 조직화, 대형화하는 상황에서 개개인이 정보유출을 조심하고 경계하는 것으로는 '안전한 사이버사회'를 담보하기 어렵다"면서 "아무리 개인이 조심해도 기업망을 뚫고 들어가 개인정보를 통째로 유출시키는 범죄조직이 있기 때문에 결국 기업이 강력한 보안체계를 구축해야 한다"고 강조했다.

기업이 개인정보유출이나 해킹으로 인한 시스템 장애를 일으켰을 경우 가장 확실하게 책임을 지는 방법은 소비자에 대한 '피해 보상'이다. 정보유출이 한번 발생하면 수십, 수백만 명의 정보가 유출되기 때문에 기업의 피해보상액은 기하급수적으로 늘어나게 된다. 이 같은 책임을 지기 싫다면 평소 보안에 각별한 투자를 해야 하는 것이다.

김 교수는 "기업들이 전체 IT예산 중 5% 이상을 보안에 투자하는 비율을 조사한 결과, 유럽은 50% 이상이었고 미국은 45% 이상인데, 우리나라 기업의 경우 3%에 불과했다"면서 "기업이 보안 투자에 소극적인 것은 상대적으로 책임이 가볍기 때문"이라고 꼬집었다.

이에 정부는 기업의 책임을 무겁게 한다는 측면에서 징벌적 손해배상제 도입을 적극 논의하고 있다. 징벌적 손해배상제도란 실제 피해보다 징벌의 의미를 담아 무겁게 피해보상을 하도록 강제하는 것을 말한다. 예를 들어 지난 카드정보유출사고로 개인정보가 모조리 유출된 한 개인이 실제로 입은 피해가 1만원 정도라고 볼 때, 해당 카드사에게 징벌의 의미로 20만원의 피해배상액을 물리는 것이 징벌적 손해배상제다. 이 제도가 도입되면 특정 피해자가 소송에서 승소할 경우 다른 소비자들도 똑같은 법적 효과를 얻는 '집단손해배상제'도 함께 도입될 가능성이 높다.

이 과정에서 중요한 것은 '입증 책임'을 누가 질 것인가다. 정보유출 사고가 발생했을 때 유출된 정보가 무엇인지, 이로 인해 어떤 피해가 발생했는지 피해자 본인에게 입증을 하라고 하는 것이 기업 측의 입장이라면, 소비자들은 일개 개인이 피해 사실이나 해킹 기법 등을 입증하기 어려우므로 기업이 입증 책임을 져야 한다고 주장한다.

강은성기자 esther@




[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]


가장 많이 본 기사