기획 & 캠페인
"개인정보 유출, 기업에 책임 물어야" vs, "책임만 강화하면 진입장벽 높아져"
상태바
"개인정보 유출, 기업에 책임 물어야" vs, "책임만 강화하면 진입장벽 높아져"
  • 황두현 기자 hwangdoo@csnews.co.kr
  • 승인 2019.11.12 17:14
  • 댓글 0
이 기사를 공유합니다

개인정보 유출 사고가 발생했을 때 개인정보보호책임자(CPO)와 같은 개인에 대한 형사처벌이 아닌 기업에 과징금을 더 부과하는 방식으로 책임을 물어야 한다는 지적이 나왔다. 해당 부문을 기준으로 하는 국내 기준이 아닌 전체 매출 중 일부에 부과해야 한다는 얘기다. 

반면 금융기관의 영업범위가 넓고 정보의 양이 많다는 점 등으로 형사처벌이 불가피하고 피해가 적은 경우 과징금으로 제재하는 등 수단의 유연화가 필요하다는 반론도 제기됐다. 금융기업 스스로 지켜야 할 부분을 명확히 해야 한다는 의견도 제시됐다.  

▲ 12일 오후 서울 영등포구 국회입법조사처에서 '디지털전환기의 금융혁신과 금융소비자보호'를 주제로 세미나가 개최됐다. ⓒ 소비자가 만드는 신문

12일 오후 서울 영등포구 국회입법조사처에서 '디지털전환기의 금융혁신과 금융소비자보호'를 주제로 열린 세미나에서 발제자로 참여한 신용석 비바리퍼블리카 정보보호최고책임자(CISO)는 법률을 개정해 기업에 확실한 책임을 물어야 개인정보 유출사고를 예방할 수 있다고 강조했다. 특히 이 주장은 핀테크 사업자로부터 나와 눈길을 끌었다. 

신 CISO는 "개인정보를 지키기 위한 가장 좋은 방법은 국회가 기업에 확실한 책임을 묻기 위해 법률을 개정해 개인정보 유출사고에 대한 과징금을 높여 확실한 책임을 묻는 것"이라고 말했다. 

그는 세계적인 흐름이라는 점을 강조했다. 작년 5월 시행된 유럽의 개인정보보호법인 GDPR은 전세계 매출의 4%를 상한으로 하여 벌금 또는 과징금을 기업에 부과할 수 있다. 이를테면 지난해 영국 항공에서 작년에 발생한 50만 명의 개인정보 유출에 대한 책임으로 연매출의 1.5%에 해당하는 2700억 원이 넘는 과징금이 부과됐다.

하지만 우리나라에서 발생한 개인정보 유출사고 중 역대 최고 과징금은 45억 원 수준이다. 이는 전체 매출이 아니라 '해당 부문' 또는 '관련' 매출액을 기준으로 최대 3%까지 과징금을 부과하기 때문이다. 

신용석 CISO는 법률을 개정했을 시 기업의 정보보안에 대한 투자가 확대되어 정보유출 사고를 최소화하고 예방할 수 있을 것이라고 지적했다. 또 법령, 고시, 지침 등 다양한 방식으로 통제되는 불합리한 규제를 철폐할 수 있다고 강조했다. 규제는 최소한이라고 되어 있지만 사실상 표준이 되고 있다는 얘기다. 

나아가 개인정보보호책임자(CPO)와 같은 개인이 아닌 기업에 책임을 묻는 방향으로 가야 리스크를 고려하여 정보보안에 더 많은 투자를 할 개연성이 생긴다는 설명이다. 현재 상황에선 유능한 전문가가 형사적 처벌을 우려해 정보보호 책임 업무를 멀리하는 등의 우려가 있어서다. 

망분리에 대해서는 한국핀테크산업협회 44개 회원사 중 89%가 규제 완화 의견에 찬성했다는 조사를 제시했다. 망분리 규제란 개인정보유출사고 방지를 위해 기업 및 기관의 내외부 망을 분리해놓은 걸 말한다. 

▲ 12일 오후 서울 영등포구 국회입법조사처에서 '디지털전환기의 금융혁신과 금융소비자보호'를 주제로 세미나가 개최됐다. ⓒ 소비자가 만드는 신문

토론자로 참석한 윤민섭 한국소비자원 책임연구원은 "책임을 강화하는 건 기업에게는 진입장벽으로 작용할 가능성이 있다"며 "신규 플레이어가 등장하기 어려우면 경쟁은 저하되고 산업은 고착화될 수 있다"고 지적했다. 

이 때문에 기업의 규모와 영업의 내용, 보안관련 기술 발전 등을 반영하여 기준과 규제를 유연화해야 한다고 봤다. 무조건적 과징금 부과도 영업범위와 정보의 양에 대해서는 형사처벌, 그보다 피해가 적은 경우 과징금으로 할 수 있다고도 제시됐다. 

망분리에 대해서는 과거와 달리 현재는 논리적 망분리도 물리적 망분리와 동일한 효과를 지닌다고 알려져 있다는 점을 설명하며, 보안수준에 대한 해킹 테스트 등을 통해 점검하는 방식도 있다고 설명했다. 

이상직 법무법인 태평양 변호사는 "형사처벌 자체가 명확치 않아 기업에 법을 지키게 하는 효과가 없다는 건 확인된 내용"이라며 "금융기업이 준수해야 할 부분이 무엇인가를 스스로 명확히 해야 한다"고 강조했다. 

과징금만을 높일 경우 영세한 곳은 과징금 부과시 사업을 접는 방식으로 회피하는 부작용이 있다고 우려됐다. 즉 금융기업이 개인정보를 보호하기 위히 취해야할 조치를 어느정도로 할 것이냐가 중요하다는 설명이다. 

앞서는 국내의 소비자보호정책에 대한 논의가 진행됐다. 

이규복 한국금융연구원 연구위원은 "새로운 금융상품이나 서비스를 신속하게 금융정책 및 감독차원에서 포용하기 어려운 상황"이라며 "오프라인 영업모델에 대한 건전성 중심의 규제감독에서 비대면 온라인 영업모델에 대한 영업행위 규제감독으로의 전환이 필요하다"고 의견을 냈다. 

또 "금융투자와 보험의 융합처럼 금융업권, 상품, 서비스를 융합하는 영업방식이 도입되는 경우 이에 적합한 소비자 보호가 적용될 수 있는 체계가 필요하다"고도 설명했다. 

그는 민원처리가 과거에는 평판리스크에 상당히 의존해왔으며 현재는 다양한 경쟁으로 인해 평판리스크로 불완전판매요인을 억제하기 어렵다고 지적했다. 이 때문에 현재는 간단한 상품 라이프사이클 상으로는 데이터분석에 적용되는 가정이 공정한지, 디지털금융이 가지는 한계 등 소비자보호관점에서 영업모델을 세부적으로 관리감독하고 평가할 수 있는 역량 필요하다고 제시했다. 

이를 위해 먼저 소비자에 대한 대우, 공시, 금융회사 등 주체별로 소비자보호 원칙이 지켜져야 한다고 강조됐다. 

먼저 소비자는 거래의 모든 단계에서 동등·공정·타당한 대우를 공평하게 받아야 한다는 원칙이다. 디지털 관련 개별 프로그램 및 알고리즘 등을 적용시 공정해야 하고 준수 여부에 대한 감독 및 검사체계, 배상 및 제재 체계를 마련해야 한다는 것이다. 

디지털에 익숙하지 않은 소비자를 기준으로 공시 체계를 마련하는 등 투명성 강화도 과제로 제시됐다. 금융회사 역시 상품 및 서비스 판매 프로세스에 개입하는 경우 주체별 책임을 명확히 하는 동시에 이해상충을 제거하고 관리도 필요하다는 얘기다. 

금융당국은 시장진입자와 금융소비자 두 축을 중점에 두고 있다고 밝혔다. 

노태석 금융위원회 정책전문관은 "새로운 시장 진입자를 허용하면서 금융시스템 안정을 가져가야 하면서 금융소비자보호를 어떤 방식으로 할 건지에 고민을 가지고 있다"며 "금융소비자를 보호하면서 더 많은 편익을 제공해야 하기 때문"이라고 설명했다. 

이어서 현재의 업권별 규제체계에서 기능별로 재편할 경우 규제대문에 영세한 업체는 규제비용으로 준수할 수 없는 등의 문제 발생 가능성도 덧붙였다. 망분리에 대해서도 이론적인 논의와 달리 실무상 실현의 어려움을 토로했다. 

한편 이날 세미나는 더불어민주당 최운열 의원, 자유한국당 김종석 의원, 한국외대 소비자법센터(센터장 안수현), 국회입법조사처(처장 김하중)이 공동으로 마련했다. 

[소비자가만드는신문=황두현 기자]

주요기사
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.