KT 사태로 EU식 '매출 연동 과징금' 도입 논의 본격화

(서울=뉴스1) 김민수 기자 = KT(030200)가 해킹 사고를 인지하고도 정부에 신고하지 않은 사실이 드러나면서 정치권에서 침해사고 신고 의무를 강화하는 법 개정 논의가 속도를 내고 있다. 이미 해외에선 해킹 사고를 은폐하거나 신고를 지연한 기업에 매출액을 기준으로 과징금을 부과하는 제도를 운용 중이다. 한국에서도 현행 과태료 제재만으로는 부족하다는 지적이 커지며, 국제 수준의 제재 체계 도입 필요성이 제기되고 있다.

11일 정치권에 따르면 이주희 더불어민주당 의원이 전날 대표로 발의한 '정보통신망법 일부개정안'은 사업자가 정보통신망 침해 사고를 은폐하거나 신고를 지연할 경우 매출액의 최대 3%까지 과징금을 부과할 수 있도록 했다.

현행법은 침해사고 미신고나 지연 신고 시 최대 3000만 원 이하의 과태료만 부과할 수 있다. 이번 개정안은 과징금 기준을 매출에 연동해 대기업에도 실질적인 제재 효과를 주겠다는 취지다. 법안은 KT 등 주요 통신사의 해킹 사고 은폐·지연 논란 이후 발의돼 시의성이 크다. 정부 조사 결과 KT가 내부 조치에만 그치고 당국에 신고하지 않은 사실이 드러나면서, 현행 과태료 수준으로는 재발 방지가 어렵다는 비판이 제기되고 있다.

'매출 연동형 과징금'은 이미 유럽연합(EU)에서 시행 중이다. EU는 2018년 시행된 GDPR(일반개인정보보호규정)을 통해 침해사고를 인지한 뒤 72시간 내 감독 당국에 통보하도록 의무화했다. 이를 위반하면 최대 1000만 유로 또는 전 세계 연 매출의 2%, 심각한 위반은 2000만 유로 또는 4%의 과징금이 부과된다.

EU의 사이버보안지침 NIS2 역시 필수 서비스 사업자(에너지·통신 등)에 보고 의무를 강화하고, 위반 시 최대 1000만 유로 또는 매출의 2%까지 과징금을 부과할 수 있도록 했다. 즉 유럽은 '신속한 사고 통지'를 핵심 원칙으로 삼고, 기업 규모에 비례하는 금전적 제재를 부과하고 있다.

다만 일각에서는 과징금 상한이 지나치게 높을 경우 기업들이 해킹 피해를 더 숨기게 되는 역효과를 우려한다. 이에 따라 신속 신고나 조사 협조에 따른 감경 등이 필요하다는 지적이 나온다. 박기웅 세종대 정보보호학과 교수는 "기업들은 언제든 과징금 이슈에 얽힐 수 있다"며 "만일을 대비하기 위한 보험적 차원에서 기업들도 받아들일 수 있을 것"이라고 분석했다.

실제로 영국 정보보호위원회(ICO)는 영국항공이 지난 2019년 고객 50만 명의 개인 정보가 유출되면서 1억 8339만 파운드 과징금을 부과 계획을 통지했다. 하지만 ICO는 영국 항공이 사고 이후 즉시 당국에 통보한 점, 조사에 협력한 점 등을 고려해 최종 과징금 2000만 파운드를 부과했다.

이번 개정안이 통과되면 기업은 침해사고 초기 대응과 내부 보고 체계를 대폭 강화해야 한다. 통신·플랫폼 등 대규모 이용자 데이터를 보유한 기업에는 '매출 연동형 과징금' 체제가 단순 과태료를 넘어 실질적 압박으로 작용할 전망이다.

kxmxs4104@news1.kr