정부, 해킹 정황땐 신고 없어도 직권조사 가능…징벌적 과징금도 검토

배경훈 과학기술부총리 겸 과학기술정보통신부 장관이 20일 서울 종로구 정부서울청사에서 열린 국정운영을 위한 부총리 간 간담회에서 발언을 하고 있다. 2025.10.20 기획재정부 제공

해킹 정황이 있을 때에는 기업의 신고 없이도 정부의 직권 조사가 가능해진다. 개인·신용정보 유출이 반복해서 발생하는 기업에는 징벌적 과징금을 부과하는 방안도 추진된다. 최근 연이은 대형 해킹 사태로 국민들의 불안이 높아지자 정부는 이 같은 내용의 ‘범정부 정보보호 종합대책’을 뒤늦게 내놓았다.

22일 과학기술정보통신부 및 금융위원회, 개인정보보호위원회, 국가정보원, 행정안전부는 국가 전반의 정보보호 역량을 강화하기 위한 종합대책을 이날 발표했다. 우선 1600여 개의 정보기술(IT) 시스템에 대해 대대적인 보안 취약점 점검을 수행하고, 통신사의 경우 실제 업무 중 불시로 해킹을 시도하는 등 강도 높은 점검에 나설 계획이다.

특히 이번 대책에는 해킹 정황을 확보한 경우 기업의 신고 없이도 정부가 직권 조사를 할 수 있도록 권한을 확대한다는 내용도 담겼다. KT 무단 소액결제 당시 ‘늑장 신고’가 피해를 키웠다는 지적이 제기된 데다 최근 LG유플러스도 미국 보안 전문지 ‘프랙’이 해킹 정황을 제시했으나 “서버 침해 흔적이 없다”며 신고를 하지 않아 조사가 늦어진 데 따른 조치로 풀이된다.

만약 개인정보 유출을 인지했음에도 신고가 늦어지거나 재발 방치 대책 미이행 등 보안 의무를 위반할 경우 물게 되는 과태료 및 과징금 한도도 높아진다. 현행법에 따르면 보안 관련 안전조치 의무를 위반한 사업자에 대해 최대 전체 매출액의 3%까지 과징금을 부과할 수 있다. 배경훈 부총리 겸 과기정통부 장관은 “영국의 경우 정보보호와 관련한 이슈가 있을 때 매출의 10%까지도 부과하는 사례가 있다”며 과징금 범위가 큰 폭으로 상향될 수 있음을 시사했다.

정부의 정보보호 공시 의무 대상도 상장사 전체로 확대된다. 기존에는 사업 분야나 매출액, 이용자 수 등에 따라 666개의 기업만이 의무적으로 정보보호 공시를 해야 했지만 이제는 270여 개의 상장사가 모두 관련 공시를 해야 한다. 이 조치는 내년 상반기(1~6월)부터 적용된다. 이외에도 최고경영자(CEO)의 보안 책임 원칙을 법령상 명문화해 중대한 보안 문제가 발생했을 시 법적으로 CEO를 해임할 수 있도록 할 방침이다.

하지만 업계에서는 공무원 업무망인 온나라시스템 해킹 사태 등 정부도 정보 유출 사고에서 자유로울 수 없는 입장임에도 기업에만 과도한 의무를 부과한다는 불만도 새어나온다. 국내 상장사 관계자는 “상장사 중에도 규모가 작은 기업들의 경우 정보보호 공시 의무 자체가 매우 큰 부담이 될 수 있다”고 지적했다.