사이버 위협, 기업도 피해자일 수 있다[전문가 시선]

사이버 침해사고가 발생할 때마다 사회적 관심은 빠르게 한 지점으로 향한다. 바로 침해사고가 발생한 기업의 책임을 어디까지 물어야 하는지, 그리고 과징금을 얼마나 부과해야 하는지에 대한 논의다. 다만 이러한 사회적 논의에서 간과하지 말아야 할 사실이 있다. 오늘날 상당수의 사이버 침해사고가 기업의 관리 부실보다는 외부의 조직적인 공격에 의해 발생한다는 점이다.

침해사고는 외부의 조직적 해킹과 같은 악의적인 공격에 의해 발생하는 위협과 내부 관리 미흡이나 부주의로 인해 발생하는 과실적 위협으로 구분된다. 전자의 경우라면 공격 대상은 개인정보만이 아니라 기업의 시스템과 서비스 전체가 된다. 따라서 사이버 침해사고는 이용자에게 피해를 주는 사건인 동시에 기업 역시 공격의 대상이 되는 하나의 거대한 위협이다.

물론 개인정보를 처리하는 기업에 높은 수준의 보호 의무가 요구되어야 한다는 점은 자명한 사실이다. 그러나 일률적으로 침해사고가 발생한 기업들에 강한 징벌적 제재를 부과하는 것이 과연 또 다른 침해사고 방지나 이용자 피해 최소화를 위한 근원적 해법일지는 의문이다.

오히려 침해사고에서 이용자 피해의 발생 여부와 그 심각성은, 사고 자체보다 사고 이후의 대응방식에 따라 크게 좌우된다는 점을 상기할 필요가 있다. 따라서 단순히 침해사고 발생 여부만을 기준으로 제재 수준을 결정하기보다는 침해사고 예방을 위한 기업의 고유한 투자와 노력, 사후 대응방식 등을 함께 고려해 제재 수준을 결정하는 것이 합리적이다.

제재 기준 역시 더 정교해져야 한다. 유출된 정보의 종류와 규모 외에도, 해당 정보의 민감성, 외부 접근 가능성, 실제 피해 발생 여부 등 다양한 요소를 종합적으로 고려하는 방식이 바람직하다. 개인정보 보호 정책의 목적이 이용자 피해 최소화와 침해사고 예방에 있다면, 기업 책임을 평가하는 방식 역시 사고 이후의 대응 노력과 실제 피해 발생 여부 등을 종합적으로 반영하는 방향으로 설계되어야 한다.

사이버 침해사고는 단순히 침해기업을 일방적 가해자로 규정할 수 있는 사건이 아니다. 사이버 공격이 지속적으로 증가할 수밖에 없는 현실에서 침해기업에 대해서만 제재 강도를 높이는 정책적 접근으로는 이용자 피해를 줄이기도, 또 다른 침해사고를 예방하기도 어렵다. 보다 현실적인 기업책임 평가 및 국가적 방어 체계 마련이 필요한 시점이다.