"수십조 매출인데, 해킹 증거 인멸 벌금 5000만원 무서울까?"

(서울=뉴스1) 김민수 기자 = 사이버 침해사고 예방부터 대응까지 전 과정을 강화하는 정보통신망법 개정안이 국무회의를 통과하면서 기업의 해킹 은폐 유인을 끊을 수 있을지에 관심이 쏠린다. 하지만 이번 개정안이 해킹 증거인멸이나 은폐에 대해 '확실한 처벌'을 제공하지 않는다는 지적도 동시에 나오고 있다.

26일 과학기술정보통신부에 따르면 최근 정부는 해킹 사고를 은폐하거나 신고를 늦춘 기업 제재를 강화하는 내용을 담은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안을 국무회의에서 의결했다.

개정안은 지연 신고 과태료 상한을 기존 3000만 원에서 5000만 원으로 높였다. 사고 관련 자료를 제출하지 않으면 하루 매출의 0.03%를 이행강제금으로 부과할 수 있도록 했다.

자료 보전 의무를 어길 경우 5년 이하 징역 또는 5000만 원 이하 벌금이 부과된다. 반복적으로 침해 사고가 발생한 기업에는 매출 최대 3% 과징금을 물릴 수 있는 규정도 신설됐다.

이번 개정은 최근 대규모 침해 사고 과정에서 기업이 사고 사실을 축소하거나 관련 자료를 제대로 보전하지 않는 사례가 반복됐다는 문제의식에서 추진됐다.

정부는 이번 조치로 기업의 사고 대응 책임을 강화하고 해킹 은폐를 줄일 수 있을 것으로 보고 있다. 자료 제출 의무와 이행강제금 도입으로 조사 협조를 끌어낼 수 있다는 판단이다.

다만 제재 수준이 충분한지를 두고 평가는 엇갈린다.

김명주 서울여대 지능정보보호학부 교수는 "처벌을 강화하면 사고를 줄일 수 있는지, 실제 처벌이 이뤄졌을 때 기업이 감당할 수 있는지라는 두 가지 고민이 함께 존재한다"며 "이번 개정은 그 사이에서 나온 절충적 수준"이라고 말했다.

이어 "과태료만 보면 부족해 보일 수 있지만 이행강제금과 과징금 등 여러 수단이 함께 강화됐다는 점이 중요하다"며 "사고 이후 대응 비용보다 사전 투자 비용이 더 낫다는 메시지를 주는 것이 핵심"이라고 설명했다.

특히 매출 연동 과징금과 이행강제금은 기업에 실질적인 부담으로 작용할 수 있다는 분석이다. 김 교수는 "자료 제출을 미루면 하루 단위로 누적되는 이행강제금은 결국 큰 금액이 될 수 있다"고 말했다.

반면 규제 수위가 여전히 낮다는 지적도 나온다.

황석진 동국대 국제정보보호대학원 교수는 "현재 수위는 높다고 보기는 어렵다"며 "규제가 강해질수록 오히려 신고를 회피할 가능성도 존재한다"고 말했다.

황 교수는 "사고 발생 시 제재뿐 아니라 평소 보안 수준을 잘 유지한 기업에 세제 혜택이나 인증 비용 지원 등 유인책도 함께 설계해야 한다"며 "채찍과 당근을 함께 적용하는 구조가 필요하다"고 강조했다.

현행 제재 구조의 실효성은 아직 제도 시행 초기인 만큼 향후 운영 과정을 지켜볼 필요가 있다는 분석도 나온다.

곽진 아주대 정보보안학과 교수는 "보안 투자 비용보다 과징금이 더 낮다면 기업 입장에서는 과징금을 선택하는 것이 합리적일 수 있다"며 "제재가 실효성을 가지려면 보안 투자보다 사고 발생 시 부담이 더 크다는 인식을 줄 필요가 있다"고 말했다.

이어 "신고 시점이나 고의성 판단 기준이 모호할 경우 제도의 실효성이 떨어질 수 있다"며 "실제 효과는 제도 운영을 지켜봐야 할 것"이라고 덧붙였다.

kxmxs4104@news1.kr