개인정보 유출 `징벌적 배상금` 논란 재점화

인터파크 해킹 사건 적용 검토
법조계 "기업들도 해킹 피해자
형사법 측면서 적용 쉽지 않아"

"잘못을 저질렀다지만 기업 역시 피해자입니다. 무조건 처벌할 수 없는 상황인 거죠."

개인정보 유출 기업체에 대한 '징벌적 배상금' 처벌 적용에 대한 논란이 커지고 있다. 하지만 형사법적 측면에서 적용이 쉽지 않다는 지적도 나오고 있다.

10일 업계에 따르면 최근 인터파크 해킹과 관련해 해킹으로 인한 개인정보 유출 기업에 대한 징벌적 배상금 제도 논란이 다시 점화되고 있는 것으로 나타났다. 징벌적 배상금 제도는 단순히 피해 금액에 대한 과징금 부과가 아니라 매출액이나 자산 규모의 일정 비중을 배상금 명목으로 내놓도록 하는 제도다. 해외에서는 사회 고위층이나 대기업의 사회적 책임을 묻는 차원에서 일부 도입·운영 중이다.

최근 국회 미래창조과학방송통신위원회의 방송통신위원회 국정감사에서 최성준 방통위원장이 인터파크 해킹 사건과 관련해 '상당한 과징금을 부과하는 방안을 검토 중'이라고 밝히면서, 이 같은 논의가 다시 일어나고 있다. 인터파크가 내부적으로 망분리나 다른 보호조치에 미흡한 점이 있을 경우 이에 대한 책임을 강하게 묻겠다는 의미다.

하지만 법조계 일각과 IT업계 일각에선 이 같은 조치에 우려를 나타내고 있다. 법조계는 징벌적 배상금 제도 등 해킹에 대한 처벌을 다루는 형사법 측면에서 논란이 있을 수 있다고 지적한다. 익명을 요구한 한 대형 법무법인 변호사는 "해킹을 당한 기업의 경우, 물론 잘못을 한 것은 맞지만 그 역시 해킹의 '피해자'라고 볼 수 있다"며 "피해자를 처벌하는 형태가 법정에서 인정될 지에 대해서는 동의하기 어렵다"고 말했다.

한 IT 업계 관계자는 "이미 현재 법령만으로도 최고정보보호책임자(CISO)가 구속되고 관계자를 문책하는 등의 조치가 있는데, 여기에 징벌적 과징금까지 물리는 것은 과중한 처벌이라는 불만이 나올 것"이라고 내다봤다. 고의로 유출하는 사례가 아닌 다음에야 무조건 처벌부터 하고 보자는 식의 사고가 만연할 경우 보안 담당자에게 요구되는 부담이 너무 커진다는 것이다. 또 다른 관계자는 "어찌 보면 보안에 대한 '환상'이 키우고 있는 논란일 수도 있다"며 "보안 솔루션 몇 개 도입하면 알아서 다 막아줄 거라는 인식이 개선되지 않는 한 이 같은 이야기는 계속 나온다"고 덧붙였다.

이재운기자 jwlee@