폐기된 보안업계 숙원 법안, 21대 국회선 살아날까

개인정보 유출 등 개인정보보호법을 위반할 시 법인과 함께 담당자를 함께 처벌하는 규정 등 보안업계에서 긍정적으로 평가한 법안들의 통과가 무산됐다. 지난 30일 21대 국회 회기가 시작되면서, 20대 국회에서 발의됐던 법안들이 자동 폐기됨에 따른 결과다.

보안업계에 따르면 김병관 전 더불어민주당 의원이 발의한 개인정보보호법 개정안과 전자정부법 개정안이 폐기된 것을 두고 아쉬워하는 목소리가 나오고 있다. 업계는 개정 법안의 중요성을 감안해 21대 국회에서 재발의되도록 추진한다는 방침이다.

이동범 한국정보보호산업협회(KISIA) 협회장은 "21대 국회 상임위원회 배분이 이뤄지고 나면 해당 법안들이 재발의될 수 있도록 행정안전위원회 의원들과 논의할 계획"이라고 말했다.

개인정보보호법 개정안의 경우 형사처벌과 과징금을 함께 부과하는 현행법을 수정, 법인에 대한 과징금만 부과한다는 내용을 담고 있다. 전자정부법 개정안은 행정·공공기관에 대해 정보보호 업무를 총괄하는 정보보호책임관을 지정하는 내용이다. 공공기관에서 생체정보, 교육정보, 금융정보, 범죄정보 등 민감한 정보를 보유하고 있음에도 총괄 책임자가 부재하다는 문제를 해결하자는 취지의 법안이다.

업계는 해당 법안들이 개인정보 유출 사고에 대해 기업·기관의 실질적 대응 역량을 높이고, 개인정보 보호 업무 담당자가 과도한 처벌을 받지 않게 개선하는 내용을 담고 있다고 평가해왔다. 그럼에도 국회 소관 상임위원회인 행정안전위원회 내 법안 논의 과정에서 처리되지 못했다.

■개인정보 실무자 형사처벌 폐지 왜 무산됐나

김병관 전 의원은 지난해 6월26일 열린 행안위 전체회의에서 추가질의를 통해 "개인정보 침해, 유출 사고가 일어났을 경우 기업에 대해 과징금을 물리거나 피해 당사자에게 배상금 또는 위로금을 지급하는 법률은 세계 여러 나라가 갖고 있는데, 우리나라는 유일하게 정보보호책임자에게 형사처벌을 한다"며 법안 개정의 필요성을 언급했다.

이어 "기업 규모를 막론하고 IT 인프라를 활용하는 기업들은 규모의 차이만 있을 뿐 개인정보 유출 피해를 모두 겪는 상황"이라며 "우리나라는 정보보호에 대한 투자가 약하고 관련 인력의 근무 여건도 좋지 않아 전문가를 구하기도 쉽지 않은 상황인데, 이들에 대해 형사처벌까지 부과하게 되면 업계는 위축될 수밖에 없다"고 지적했다.

이에 진영 행정안전부 장관은 "해커들의 수단이 너무나 교묘해 아무리 주의를 해도 개인정보가 유출되기도 한다"며 공감을 표하기도 했다.

그러나 이후 지난해 11월14일 열린 행안위 법안심사소위원회에서 윤종인 행정안전부 차관은 해당 법안에 대해 "현행법으로 두는 의견을 갖고 있다"고 답했다.

정부가 이같은 판단을 내린 이유는 크게 세 가지다. 가장 큰 이유는 고의로 개인정보에 안전성 확보 조치를 하지 않은 자에 대해서까지 형사처벌을 배제할지에 대해 검토가 필요하다는 것이다.

두 번째로, 매출액이 없는 비영리단체나 개인 등 과징금을 부과하기 어려운 기관, 단체에도 과징금을 부과하게 되는 경우가 생길 수 있다고 지적했다.

세 번째로는 정보통신망법과의 불균형 문제를 언급했다. 망법 상 정보통신서비스 제공자에 대해서는 형사처벌과 과징금이 함께 적용되고 있어 개인정보보호법에서만 형사처벌을 폐지하게 되면 법적 불균형이 생긴다는 것이다.

윤종인 차관은 "장기적으로 형사처벌 관련 조항을 과징금으로 바꿔나가야 한다는 측면에 대해서는 공감한다"면서도 "형사처벌을 일거에 다 없애 과징금으로 바꿀 수 있는지에 대해서는 신중한 검토와 연구가 더 필요하다"고 첨언했다.

이에 김병관 전 의원은 "기존에 방송통신위원회에서도 입법 권고한 내용이기도 하고, 수개월 전부터 제시한 의견인데 지금까지 검토를 안한 것이냐"며 "행안부도, 개인정보보호위원회에서도 검토하겠다고 했으나 한 번도 제대로 검토가 된 적이 없었다"고 질타했다. 그러나 결과적으로 개인정보보호법 개정 과정에서 반영이 무산됐다.

소위에서 논의되기 전 국회 입법조사처도 관련 문제를 분석했다. 지난해 10월 발행된 '유럽의 개인정보 안전성 확보 강화' 보고서에서는 "개인정보 유출이 있었더라도 담당자 형사처벌보다 기업에 과징금을 부과하되 실효성을 높이기 위해 유럽 법제와 같이 상당한 금액의 과징금을 부과하는 방안에 대해서도 참고할 필요가 있다"는 의견을 냈다.

최경진 가천대 법과대학 교수는 현행 개인정보보호법에 대해 "개인정보보호규정에 따른 과징금은 높일 필요가 있으나, 국내법 상 형사처벌 조항은 너무 강력하다"며 "유럽 등 해외에서는 없는 조항이기도 하고, 너무 경직돼 있는 부분"이라고 지적했다.

■민간엔 CISO 의무화하면서...공공기관은 개인정보 유출 시 총 책임자 없어

전자정부법 개정안에서 지정하고자 했던 정보보호책임관은 민간에서 지정하는 정보보호최고책임자(CISO)와 대응되는 역할이다.

정부는 지난해 6월13일부터 자본금 1억원 이하 소기업 등을 제외한 기업으로 CISO 지정·신고 의무 적용 대상을 정하고, 자산총액 5조원 이상 또는 정보보호 관리체계 인증 의무가 있는 정보통신서비스 제공자에 대해서는 CISO에 대해 겸직 금지 의무를 부여했다. 이를 통해 규모가 큰 기업의 경우 정보보호 투자를 강화할 수 있도록 했다.

보안업계는 이처럼 정부가 민간 영역에 대해서는 정보보호 투자를 강화할 수 있도록 조처하고 있지만, 공공 영역에 대해서는 정보보호 관련 총 책임자 역할을 수행하는 인력이 없다는 점을 문제삼고 있다.

이동범 한국정보보호산업협회(KISIA) 협회장은 "교육부, 보건복지부 등 민감한 정보를 갖고 있는 공공기관에도 CISO 역할을 담당하는 사람이 없는데, IT 관련 부서에만 모든 것을 맡겨두면 개인정보 유출 사고 예방에 소홀해질 수 있다"며 "민간에서는 더 많은 개인정보를 지닌 정부가 민간에만 CISO 지정을 의무화하는 것에 대해 비판적인 시각이 있다"고 언급했다.

이창림 행정안전위원회 수석전문위원은 해당 법안에 대한 검토보고서를 통해 개정 취지가 타당하다는 의견을 내비쳤다.

이 수석전문위원은 보고서에서 검토의견으로 "주요정보통신기반시설과 관련한 특정 분야 또는 정보통신서비스 제공자와 같은 민간분야에서는 정보보호최고책임자의 지정을 규정하고 있다"며 데이터 융복합 기술의 발달과 행정기관의 개인 맞춤형 행정서비스 제공이 일상화되고 있다는 점에서, 전자적 대민서비스 및 정보시스템과 관련된 보안대책 관련 정책수립 및 총괄 조정, 전반적인 정보보호 업무의 관리감독에 대한 필요성이 높아지고 있다"고 언급했다.