개인정보 유출 사고에 대한 기업 책임을 강화한 개인정보보호법 개정안이 공포되면서 산업계의 긴장감이 커지고 있다. 징벌적 과징금 상한이 기존 매출의 3%에서 최대 10%로 확대된 가운데 업계에선 개인정보 보호 강화 필요성에는 공감하지만 데이터 활용 정책과의 균형이 필요하다는 목소리가 나온다.
10일 공포된 개인정보보호법 개정안은 오는 9월 11일부터 시행된다. 핵심은 징벌적 과징금 도입이다. 반복적이거나 중대한 위반행위에 대해서는 전체 매출액의 최대 10%까지 징벌적 수준의 과징금을 부과할 수 있는 내용이 담겼다. 기존에는 과징금이 매출의 3% 수준에 그쳐 정보 유출 사고 억제에 한계가 있다는 지적이 제기돼 왔다.
이번 개정안으로 공공·민간 분야에서 파급력이 큰 주요 기업·기관에 대한 정보보호 및 개인정보보호관리체계(ISMS-P) 인증 제도가 의무화된다. 인증 의무화 대상 범위는 개인정보 보호법 시행령 개정 과정에서 구체화될 예정이다. 다만, 관련 예산 확보 등에 소요되는 기간을 고려해 인증 의무화는 2027년 7월 1일부터 시행된다.
경영진의 책임도 강화된다. 대표자(CEO)는 개인정보보호의 최종 책임자로서 관리·감독 의무를 지게 된다. 개인정보보호책임자(CPO)는 개인정보보호 관련 인력 관리와 예산 확보 권한을 갖고 관련 사항을 대표자와 이사회에 직접 보고해야 한다. 기업이 개인정보 유출 가능성을 인지한 경우 지체 없이 정보 주체에게 통지하는 ‘유출 가능성 통지제’도 도입됐다.
개정안은 지난해 12월 국회 정무위원회를 통과한 뒤 지난달 국회 본회의와 이달 국무회의 의결을 거쳐 확정됐다. 규제에 방점이 찍힌 만큼 산업계의 반발이 예상됐지만 최근 대규모 개인정보 유출 사고가 연이어 발생하면서 정부의 기업 책임 강화 기조로 빠르게 개정됐다는 평가가 나온다.
업계에서는 규제 강도가 높아 산업 진흥을 저해할 수 있다는 우려가 크다. 생성형 인공지능(AI)과 데이터 기반 서비스는 대규모 데이터 활용이 핵심 경쟁력인데 규제 강화가 산업 경쟁력을 위축시킬 수 있다는 것이다.
AI 업계 관계자는 “IT 분야는 글로벌 경쟁이 치열한데 이번 개정안이 국내 사업자들의 발목만 잡을 가능성이 높다”며 “하위 법령을 만들 때 국내 기업에 대한 역차별을 줄일 수 있도록 글로벌 스탠다드를 잘 반영했으면 좋겠다”고 강조했다.
최근 사이버 공격 환경의 변화를 충분히 고려하지 않았다는 아쉬움도 있다. AI를 활용한 자동화 해킹이나 데이터 탈취 공격이 증가하는 상황에서 기업이 모든 공격을 완벽하게 차단하는 것은 현실적으로 어렵기 때문이다.
업계 관계자는 “북한 등 고도화된 해커 조직이 작정하고 해킹하면 일반적인 수준의 보안 조치만으로는 대응이 어렵다”며 “완벽한 보안은 사실상 불가능한데, 실제 공격자에 대한 처벌이 쉽지 않아 피해를 본 기업에만 책임을 묻는 셈”이라고 말했다.
특히 과징금 상한을 최대 10%로 높인 것이 글로벌 스탠다드에 맞지 않는다는 지적이 제기된다. 황석진 동국대 국제정보보호대학원 교수는 “유럽연합(EU)의 일반개인정보보호규정(GDPR)도 기업 연 매출의 최대 4% 또는 2000만 유로 중 큰 금액을 과징금으로 부과한다”며 “우리나라도 매출액의 최대 5% 수준이나 징벌적 손해배상제를 도입하는 것이 실효성이 있지 않겠나”라고 조언했다.
