기업들 `쉬쉬`하던 보안사고, 소비자 심판대 오른다

정부 '행정처분 외부 공표' 의무화로 기존 관행에 철퇴
7개 항목중 한가지라도 해당땐 신문 등에 스스로 공지

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


기업들 `쉬쉬`하던 보안사고, 소비자 심판대 오른다
기업들은 앞으로 정보유출, 보안사고 발생 사실을 더 이상 '쉬쉬'하고 넘어갈 수 없게 됐다. 정보보호 관련법을 어겨 보안사고가 발생한 기업에 대해 정부가 '외부 공표'를 의무화하도록 했기 때문이다.

5일 안전행정부는 '개인정보보호법 위반 행정처분 결과 공표제도'를 시행한다고 밝혔다. 기업이 고객 정보를 소홀히 관리하거나 보안 투자를 제대로 하지 않는 등 정보보호법을 위반해 과징금, 과태료나 시정명령 등 행정처분을 받게 되면 이를 시장에 그대로 공개하도록 의무화한 것이다.

행정처분 결과 공표제도는 이전에도 있었다. 하지만 처분 내용을 공개하는 기준 자체가 엄격해 그간 공표한 사례 자체가 없었다. 행정처분을 받고 외부 공개까지 하는 것이 '이중처벌'에 해당한다는 해석이 있어 당국이 처분받은 기업 공개를 꺼리기도 했다.

이 때문에 기업들은 보안사고가 발생하면 사고 수습보다 외부로 알려지는 것에 더 신경을 쓰는 것이 관례였다. 보안사고로 고객 정보가 유출되거나 시스템이 공격을 받는 일보다 사고가 발생했다는 사실 자체가 기업 이미지에 큰 타격을 주기 때문이다.

더구나 정보유출이나 보안사고에 대한 행정처분이 기업에 별반 타격을 주지 못하는 솜방망이 수준에 그치는 반면, 해당 기업은 행정처분만으로 보안 투자를 늘리거나 정보보호 강화 노력은 여전히 미약해 행정 처분이 규제효력을 발휘하지 못한다는 지적이 잇따랐다.

이에 따라 정부는 행정처분 사실을 외부에 공개해 정부의 처벌보다 더 무서운 소비자의 심판을 직접 받고, 이를 통해 기업이 자율적으로 정보보호에 투자하도록 유도하겠다는 것이다.

이번 행정처분 결과 공표제도는 기존 공표제도에 비해 그 기준을 대폭 강화한 것이 특징이다. 예전에는 처분 사실 3개 항목 중 2개 항목 이상 동시에 해당할 경우 공표했었지만, 이번에는 기준 자체를 7개 항목으로 세분화하고 이 중 한 가지라도 해당할 경우 처분 사실을 외부에 알리도록 했다. 또 처분 사실을 행정청이 공표하는 현행 방식 대신에, 위반행위자가 신문 등에 스스로 공표하게 명령하는 '공표명령권'도 도입했다.

안행부 측은 "공표명령권은 처분 사실을 스스로 알린다는 비용부담 원칙에 부합되고 해당 기업의 경각심 고취에도 효과적이기 때문에 도입했다"고 설명했다.

행정처분을 공표하게 되는 7개 항목 기준은 △(보안 사고 자체에 대한)은폐 및 조작행위가 드러났을 경우△처분 내용이 과태료 부과금액 1000만원 이상일 경우△위반기간(정보유출 기간)이 6개월 이상 지속됐을 경우△최근 3년 내 2회 이상 위반했을 경우△피해자 수가 10만명 이상일 경우△해당 보안사고로 인해 2차 피해가 발생했을 경우△당국의 조사를 거부, 방해하거나 시정조치를 이행하지 않았을 경우 등이다. 이중 한 가지만 해당해도 신문에 보안사고 사실을 스스로 공지해야 한다.

강은성기자 esther@dt.co.kr




[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]


가장 많이 본 기사