해킹 기업 제재만큼 필요한 ‘인센티브’[기고/최현우]

최현우 성신여대 융합보안공학과 교수

한국 사회에는 엄한 처벌이 아이 교육에 도움이 된다는 믿음이 있다. 하지만 미국의 행동주의 심리학자 버러스 스키너는 아이가 바람직한 행동을 했을 때 긍정적 관심을 주면 잘못에 대한 지적이 더 효과적으로 작용한다고 설명했다. 처벌과 함께 적절한 보상이 병행될 때 긍정적 변화를 불러온다는 것이다.

최근 대규모 개인정보 유출 사고에 강한 처벌을 요구하는 여론이 높아지고 있다. 정부는 규제 수위를 높이고 있고, 기업 전체 매출의 최대 10%까지 과징금을 부과할 수 있도록 법이 강화됐으며 ‘무과실 책임’ 도입까지 논의 중이다.

최근 발생한 대규모 사이버 침해사고 중 일부는 기본적 정보보호 조치와 관리 체계가 제대로 작동하지 않았던 경우가 있다. 단순히 해킹 기법의 고도화에 기인했다기보다 기본적인 관리 실패가 반복되면서 구조적 취약점이 누적된 결과로 볼 수 있다. 기업의 기본적인 보안 책임을 강화하고 제재 수위를 높이는 것은 사고 예방 차원에서도 필요하다.

다만 사이버 침해사고는 개별 기업의 문제를 넘어 사회 구조적 위험이 되고 있다는 점도 간과해선 안 된다. 2024년 해킹 등 사이버 침해 범죄 발생 건수는 4526건으로 전년 대비 7.2% 증가했다. 2014년 2291건과 비교할 때 약 2배로 늘어났다. 정보 유출 사고에 대한 징벌을 강화하는 것만이 최선인지에 대해서는 고민이 필요하다. 징벌 중심 접근은 기업이 문제 해결보다 리스크 회피에 집중하도록 만들 가능성이 높다. 실제로 지난해 정보보호 실태조사에 따르면 사고를 겪은 기업 중 약 68%가 사고를 신고하지 않은 것으로 나타났다.

이제는 기업의 적극적인 사고 대응과 고객 보호를 유도하는 접근이 필요하다. ‘얼마나 강하게 처벌할 것인가’도 중요하지만 ‘어떻게 대응했는가’를 중요한 평가 기준으로 고려해야 할 시점이다. 사고 자체를 완벽하게 막기는 어렵지만, 사고 이후의 대응은 전적으로 기업의 선택에 달려 있다.

신속한 신고와 정보 공유, 고객 피해 최소화를 위한 보호 조치 등은 기업이 적극적으로 수행할 수 있는 영역이다. 대응이 적절하게 이뤄졌다면 제재 감경 등 인센티브도 함께 고려되어야 한다. 최근 해킹 피해를 본 한 금융사는 사고 직후 즉시 신고하고, 고객 보호 조치를 신속히 시행해 2차 피해를 효과적으로 차단했다는 평가를 받았다. 기업이 사고 이후의 대응을 어떻게 하느냐에 따라 피해 규모를 좌우할 수 있음을 시사한다. 영국항공은 2018년 승객 데이터 유출 사고로 약 1억8339만 파운드의 과징금이 예고되었으나, 보안 개선 조치와 후속 대응 노력이 반영되어 최종적으로 2000만 파운드의 과징금만 부과되었다.

앞으로의 정책 방향은 기업의 사고 예방 노력과 사고 이후 대응 전반을 종합적으로 평가하는 데 초점을 맞출 필요가 있다. 제재는 사고에 대한 책임을 분명히 하는 수단으로 강화하되, 동시에 신속한 대응과 실질적인 고객 보호를 선택한 기업이 적절히 평가받을 수 있도록 인센티브가 균형 있게 작동해야 한다.