[서울=뉴스핌] 양태훈 기자 = 2025년 한 해, 잇따른 대형 해킹 사고가 ICT 강국 '한국'의 위상을 흔들었다. 국민이 매일 이용하는 금융·통신 서비스는 물론, 해커의 공격으로부터 자산을 지키기 위한 보안 솔루션까지 모두 뚫렸다.

정부는 이 같은 상황을 '국가 비상사태에 준하는 위기'로 규정하고, 국가안보실을 중심으로 '범부처 정보보호 종합대책'을 내놓았다. 공공·금융·통신 등 1600여 개 핵심 IT 시스템에 대한 즉각적인 점검에 착수하고, 정보보호 관리체계를 현장 심사 중심으로 전환하며, 중대한 결함이 드러날 경우 인증을 취소하는 등 실효성 강화를 예고했다.

해킹 징후가 포착되면 기업의 신고 여부와 관계없이 관계 기관이 직권으로 조사할 수 있도록 권한을 확대하고, 지연 신고나 재발 방지 미이행 시에는 매출의 최대 10%까지 과징금으로 부과하는 방안도 검토 중이다.

정부는 최고경영자의 보안책임 명문화, 상장사 전체로의 정보보호 공시 의무 확대, 정보보호 최고책임자·개인정보보호 최고책임자 권한 강화 등을 통해 보안을 조직의 하위 기능이 아닌 경영의 핵심 의사결정 영역으로 끌어올리겠다는 의지도 밝혔다.

다만, 규제 강화 일변도의 접근은 자칫 산업 생태계의 자율성과 혁신 역량을 위축시킬 수 있다는 우려도 나온다. 정부가 무조건적인 처벌에 나설 경우 기업들은 규제를 '벌점형 리스크'로만 인식해 실질적인 보안 수준을 높이기보다 행정적으로 관리해야 할 항목만 늘리는 데 그칠 수 있다는 지적이다.

이런 가운데 개인정보보호위원회가 내놓은 '사전예방형 보호체계 전환' 정책 방향은 주목할 만하다. 보안에 대한 엄격한 규제와 철저한 관리라는 기본 철학은 유지하되, 기업의 자율보호 노력에 따라 책임을 완화할 수 있는 제도적 장치를 마련한다면 규제를 넘어 '책임 중심의 자율 생태계'로 발전할 수 있다는 평가다.

그럼에도 여전히 남은 과제는 '균형'이다. 직권조사권과 징벌적 과징금 신설은 정부의 강력한 의지를 보여주지만, 이러한 제재가 기업의 혁신 의지를 꺾지 않도록 정교하게 설계돼야 한다. 정보보호 인증제도가 여전히 형식적 절차에 머물러 있다는 현장의 지적처럼, 제도의 실효성을 높이려면 평가 품질 개선과 리스크 기반 차등 심사가 병행돼야 한다. 징벌적 과징금의 단순 누적이 아니라 이를 피해구제기금 등 재발방지 투자로 순환시키는 구조도 필요하다.

무엇보다 보안 투자에 대한 인센티브 제도 마련이 필요하다. 정부가 기업의 자율적 보안 강화 노력을 평가해 세제 혜택, 공공조달 가점, 경영평가 반영 등으로 보상하는 구조를 마련한다면, 규제는 '벌'이 아니라 '책임을 촉진하는 장치'가 될 수 있다. 보안 담당자의 역할 강화와 인력 양성 역시 제도와 병행돼야 한다. 공공 부문의 예산 상향과 경영평가 지표 개선은 좋은 출발이지만, 민간에서도 정보보호 인력 확보를 경영의 핵심 과제로 인식해야 한다.

보안 위기의 본질은 기술의 결함이 아니라 신뢰의 결함이다. 국민은 더 이상 "또 유출됐다"는 뉴스를 받아들일 수 없다. 정부는 감독자이자 파트너로서 기업의 자율적 보안 역량을 높이는 조력자가 되어야 하며, 기업은 규제가 아니라 신뢰 회복의 관점에서 보안 투자를 경영의 중심축으로 삼아야 한다.

dconnect@newspim.com