“방통위가 실수로 공(0)을 몇 개 더 찍은 거 같습니다.”
최근 종영한 화제의 드라마 ‘이상한 변호사 우영우’ 마지막 에피소드를 보면 국민의 80%가 이용하는 인기 온라인 쇼핑몰 ‘라온’은 회사 직원의 동생으로 가장한 해커의 ‘스피어 피싱(불특정 다수가 아닌 특정 개인이나 회사를 겨냥한 피싱 공격)’을 당한다. 그리고 4000만명의 라온 고객 개인정보가 유출된다. 평소 직원과 동생이 주고받던 이메일을 훔쳐본 해커의 소행이었다. 비록 직원 한 명의 실수였으나 드라마 속에서 라온은 방송통신위원회로부터 탄탄한 중견기업 연매출과 가까운 3000억원이라는 과징금을 부과받는다. 극 중 우영우와 함께 일하는 한 변호사가 과징금에 0이 실수로 더 찍힌 것이 아니냐며 의아함을 나타낸 배경이다.
기업 경영자의 등골을 오싹하게 할 과징금 3000억원은 단순히 드라마 속 허구가 아니다. 정부가 각종 보안 규제 및 처벌 강화의 움직임을 보이는 흐름이 대중문화에 반영된 것이다. 보안 사고가 일어나면 그제야 ‘소 잃고 외양간 고치기’ 식으로 대응했던 기업에 이젠 드라마마저도 위험 시그널을 보낸다는 뜻이다.
드라마 속 해킹 사건은 2016년 인터파크 사내 전산망이 직원의 동생을 사칭한 해커의 공격을 받아 2000만명이 넘는 이용자의 개인정보가 유출됐던 것과 유사하다. 당시 인터파크는 방송통신위원회로부터 45억원에 달하는 과징금을 부과받았다.
그럼에도 드라마 속 과징금 3000억원이 보안업계와 기업에 현실로 다가오는 이유는 정부가 실제 개인정보 유출에 대한 처벌을 강화하려는 움직임을 보이고 있기 때문이다. 드라마에서는 개인정보 유출 사건이 방송통신위원회 담당으로 그려졌으나, 2020년 개인정보보호위원회가 국무총리 소속 장관급 중앙행정기관으로 격상되면서 개인정보보호 관련 정책을 총괄하게 됐다.
힘이 세진 개인정보보호위원회는 2021년 관련 처벌을 강화한 개인정보보호법 개정안을 국회에 제출했다. 개정안에는 개인정보 침해사고를 낸 기업의 과징금 부과 기준을 기존 ‘침해사고와 관련된 매출액의 3%’에서 ‘전체 매출액의 3%’로 상향하는 내용이 포함됐다. 개정안대로라면 과징금 규모가 수십, 수백 배까지 불어날 수 있다. 유럽연합(EU)의 개인정보보호법(GDPR) 역시 EU 회원국 기업의 개인정보 관련 위반 행위 적발 시 EU 이외 해외 사업을 비롯한 전체 매출의 최대 4%까지 과징금을 부과하고 있다. 세계적인 추세를 고려해도 이런 변화가 어색하지 않다는 것이다.
여기에 2015년 처음 시행됐으나 그간 기업에 공개를 자율적으로 맡겼던 정보보호 공시 역시 지난해 6월 과학기술정보통신부가 정보보호산업법을 개정하면서 올해부터 기간통신사업자, 상급종합병원 등 600여곳에 의무화됐다. 이들은 정보보호 투자액, 정보보호 전담 인력 수 등 내용을 공시하지 않으면 최대 1000만원의 과태료를 부과받게 됐다. 과태료의 액수를 떠나, 정부가 소비자 정보보호를 더는 기업 자율에 맡기지 않겠다는 의지가 보인다.
그간 보안업계는 “그깟 과징금 내고 말지”라는 인식이 기업 사이에 만연해 문제라고 지적해왔다. 특히 마진이 적게 남는 유통업계의 경우 인력을 고용하는 등 보안에 지속해서 투자하기보다 과징금을 내는 편을 택했다. 보안업체의 고객사도 공공기관이 다수이며 민간 기업은 결국 정부 정책에 발맞춰 ‘보여주기식’으로 최소한의 보안 시스템만을 도입하는 데 그친다는 것이 현장의 목소리다.
그러나 이제 보안은 안이한 태도로 일관할 수 없는 영역이 됐다. 윤석열 대통령은 지난 7월 13일 정보보호의 날 기념식에 역대 처음으로 참석한 대통령이 됐다. 윤 대통령은 110대 국정과제 중 하나로 ‘국가 사이버안보 대응역량 강화’를 선정하기도 했다.
정보보호는 이제 기업 생존에 필수다. 더는 문제가 생기면 그때 대응하겠다는 태도로 일관할 수 없다. 정부가 정보보호를 강화하기 위해 움직이고 있는 만큼 기업이 먼저 움직여야 한다. 그렇지 않으면 드라마 속 과징금 3000억원은 기업의 생존을 결정하는 현실이 될 수 있다.