'보호와 활용' 동시에...유출시 과징금 철퇴가 대안
정보보호 책임·통제권 기업으로...패러다임 바꾸자
[편집자] 딥러닝(Deep Learning)으로 무장한 구글 '알파고'가 이세돌 9단을 누르며 인공지능(AI) 시대의 도래를 알린 지 3년 반이 지났습니다. 알파고 쇼크에 우리 기업과 대학은 앞다퉈 인공지능 투자를 선언했지요. 하지만 국내 법체계는 기업들이 개인정보를 활용하는 것을 제한하고 있습니다. 법 규제에 막혀 야심차게 닻을 올린 인공지능 연구가 속속 중단되고, 인재는 해외로 떠나고 있습니다. 정부와 국회가 뒤늦게 데이터 3법 개정을 추진 중이지만 법안이 1년 째 국회서 낮잠을 자고 있습니다. 국가경쟁력을 갉아먹고 있는 이 답답한 현실을 종합뉴스통신 뉴스핌이 30회 이상 '빅시리즈'로 꼼꼼하게 짚어봅니다.
[서울=뉴스핌] 최유리 기자 = 개인정보 보호와 활용이라는 두 마리 토끼를 잡기 위해 규제 패러다임을 전환해야 한다는 목소리가 높다.
정보 유출사고를 막기 위한 규제로 정보의 활용까지 제한하는 것에서 벗어나 정보 보호와 활용을 동시에 추구해야 한다는 주장이다. 유럽처럼 정보보안을 자율규제에 맡기는 대신 사고가 발생할 경우 기업에 무거운 과징금을 부과하는 방식이 대안으로 제시된다.
12일 국회입법조사처는 '디지털전환기의 금융혁신과 금융소비자보호'를 주제로 세미나를 열었다. 디지털금융 활성화로 금융 소비자의 편의성이 높아진 반면, 권익 침해 문제도 발생하는 만큼 이에 대한 논의가 필요하다는 문제의식에서다.
대표적인 문제가 개인정보보호 이슈다. 일부 시민단체에선 빅데이터 산업을 위한 개인정보 활용이 정보유출 사고나 사생활 침해로 이어질 수 있다고 우려하고 있다.
이에 대해 핀테크 업계는 정보보안에 대한 기업의 책임을 강화하는 대신 통제 방법에 대한 선택권을 주는 방식이 필요하다는 입장이다.
토스 개발사인 비바리퍼블리카의 신용석 최고정보보호책임자(CISO)는 "개인정보 유출사고에 대한 최종적인 책임은 기업에 있다"며 "유출사고에 대한 과징금을 높여 기업들이 스스로 관련 투자와 사고 방지에 나서도록 해야 한다"고 말했다.
 |
| 12일 국회입법조사처는 '디지털전환기의 금융혁신과 금융소비자보호'를 주제로 세미나를 열었다. [서울=뉴스핌] 최유리 기자 = 2019.11.12 yrchoi@newspim.com |
실제로 지난해 5월부터 시행된 유럽의 개인정보보호법 GDPR에 따르면 정보유출 사고가 발행하면 전체 매출의 4%까지 벌금이나 과징금을 부여할 수 있다. 개인 50만명의 정보를 유출한 영국항공이 2700억원이 넘는 과징금을 낸 이유다. 연매출 1.5%에 해당하는 규모다.
반면 국내는 전체 매출이 아니라 해당 부문 또는 관련 매출액을 기준으로 3%까지 과징금을 부여한다. 개인정보 유출사고 중 역대 최고 과징금은 45억원 수준이다.
신 CISO는 "4차산업혁명 시대에 맞게 보안통제의 패러다임을 바꿔야 한다"며 "기업이 새로운 위협이나 환경에 대비해 통제할 수 있는 선택권을 갖는다면 개인정보 보호와 활용을 동시에 추구하면서 균형을 가져갈 수 있다"고 전망했다.
지금은 규제로 인해 모래주머니를 달고 뛰는 형국이지만, 기업의 존망과 직결되는 금전적인 책임이 커지면 규제 효과가 클 것이라는 주장이다.
규제 패러다임을 전환하기 위해 고려해야 할 문제들도 제기됐다. 금융기업이 준수해야 할 개인정보 보호 조치의 수준을 명확히 하고, 유출 사고시 소비자들이 배상받을 수 있는 대안도 필요하다는 지적이다.
윤승영 한국외대 법학전문대학원 교수는 "기업의 책임을 강화하면서 산업 발전을 추진하자는 의견에 동의하지만, 국내는 미국에 비해 소비자들이 피해로 손해배상을 받는 사례가 적다"며 "이 문제를 해결해야 한다"고 꼬집었다.
이상직 법무법인 태평양 변호사는 "형사처벌이 법을 지키게 하는 효과가 크지 않기 때문에 과징금으로 개선하는 것이 필요하다는 지적에 동의한다"며 "다만 가급적 금융기업의 의무사항을 명확히 해 예측가능성을 높이고, 이를 준수하지 못해 피해가 발생할 경우 과징금을 부과하는 것이 타당하다"고 강조했다.
정보유출에 대한 기업의 책임을 강화할 경우 그 방식을 유연화해야 한다는 주장도 나왔다.
윤민섭 한국소비자원 책임연구원은 "개인정보를 보관하는 것은 개인이 아니라 마이데이터 사업자임으로 사업자의 보안은 매우 중요하다"며 "기존 금융기관 수준으로 보안시스템을 요구하면 진입장벽으로 작용해 신규 플레이어의 등장을 방해할 수 있고 너무 낮추면 피해가 양산될 가능성이 있기 때문에 업무 범위나 피해 규모에 따라 규제를 유연하게 적용해야 한다"고 말했다.
yrchoi@newspim.com
