쿠팡發 보안 파장…연말 정보보호 대책, 인센티브 대신 '규제 정비' 무게

과기정통부, 주요 기업 CISO 간담회 잠정 연기
대통령·부총리 '징벌적 손해배상' 언급
플랫폼사 ISMS 체계 '고위험군' 분류 급물살

쿠팡 개인정보 유출 사태 이후 정부가 이달 발표를 준비해 온 정보보호 종합대책의 후속 세부안이 당초 예고했던 '보안 투자 인센티브' 대신 '규제 강화'에 무게가 실리고 있다. 배경훈 부총리 겸 과학기술정보통신부 장관이 2일 국회 현안질의에서 "이달 말 발표할 2차 정보보호 종합대책에 징벌적 손해배상 도입을 검토하겠다"고 밝힌 데 이어, 같은 날 과기정통부가 주요 기업 정보보호최고책임자(CISO) 대상으로 이주 진행하기로 했던 간담회 일정을 미루면서 후속 논의에도 변동이 생겼다.

3일 아시아경제 취재에 따르면 과기정통부는 전날 오전 일부 기업 CISO들에게 이번 주 예정된 간담회가 '잠정 연기'됐다고 통보했다. 이 자리는 후속 대책 마련 과정에서 업계 의견을 청취하기 위한 것이었지만, 일정 변경으로 인해 대책 발표 시점도 영향을 받은 것으로 풀이된다. 한 대기업 보안 담당 임원은 "민관합동조사단 인력도 KT에 이어 쿠팡 사태에도 동시 투입된 상황이라 정책 일정 전반에 영향을 줄 수 있다"고 말했다.

배 부총리는 지난 10월 범부처 정보보호 종합대책을 발표하며 후속 대책으로 "보안에 적극 투자하는 기업에는 인센티브를 제공할 방안을 논의하겠다"고 밝혔다. 그러나 쿠팡에서 대규모 유출이 발생한 사실이 드러나고, 정치권에서도 규제 강화 요구가 잇따르면서 인센티브 중심 논의는 상대적으로 우선순위가 밀릴 것이란 전망이 나온다.

또 이재명 대통령이 전날 국무회의에서 과징금 강화·징벌적 손해배상제 도입 필요성을 언급하며 제도 전반의 손질을 주문한 점도 정책 방향을 규제 쪽에 무게를 싣게 하는 요인이다. 이 대통령이 "초연결 디지털사회에 맞는 패러다임 전환 수준의 제도"를 강조한 대목은 정보보호·개인정보보호 관리체계(ISMS-P) 인증제도 개편 가능성과도 맞물린다는 평가다. 쿠팡 사태를 계기로 ISMS 체계의 '무용론'이 제기되는 가운데, 정부가 플랫폼사를 '고위험군'으로 분류하는 개선안을 추진할 수 있다는 관측이다. 해당 방안은 플랫폼업계 반발로 조율이 지연돼왔으나, 이제 강행할 동력이 생긴 것이다.

다만 업계 일각에서는 논의가 지나치게 규제 중심으로만 흘러가는 데 대한 우려도 나온다. 한 기업 보안담당자는 "투자 인센티브 같은 유도책 없이 제재만 강화되면 기업 내부 보안 역량을 실질적으로 끌어올리기 어렵다"며 "사전 예방 투자를 촉진하는 구조가 필요하다"고 말했다.

박유진 기자 genie@asiae.co.kr