정보보호공시 제도의 문제점과 개선방향

I. 서론

 

우리나라는 이용자의 안전한 인터넷 이용 및 정보보호 투자 활성화를 위하여 정보보호 투자, 인력, 인증, 활동 등 기업의 정보보호 현황을 공개하는 자율·의무공시 제도로서 정보보호공시제도를 운영하고 있다. 이를 통해 정보보호 측면에서 이용자의 알 권리 보장 및 객관적인 기업 선택의 기준을 제시하고, 기업은 정보보호를 기업경영의 중요요소로 포함하여 자발적인 정보보호 투자를 유도하는 것에 목적을 두고 있다.

그러나 최근 통신사나 쿠팡 등의 개인정보유출 사고가 커지면서, 이러한 사고예방 또는 사고 후의 조치 사항들이 정보보호공시 제도에서 잘 반영되고 있는지 다소 의문이 생기게 된다. 본 서에서는 현행 정보보호공시제도의 문제점을 살펴보고 이를 개선하기 위한 방향성을 논해 본다.

반응형

II. 정보보호공시 제도의 법적 근거(정보보호산업법 제13조 등)

 

현행 정보보호공시 제도는 정보보호산업법 제13조에 근거하고 있다. 법령의 구체적인 사항은 다음과 같다.

 

제13조(정보보호 공시) ① 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 이용하는 자의 안전한 인터넷이용을 위하여 정보보호 투자 및 인력 현황, 정보보호 관련 인증 등 정보보호 현황을 대통령령으로 정하는 바에 따라 공개할 수 있다. 이 경우 「자본시장과 금융투자업에 관한 법률」 제159조에 따른 사업보고서 제출대상 법인은 같은 법 제391조에 따라 정보보호 준비도 평가 결과 등 정보보호 관련 인증 현황을 포함하여 공시할 수 있다. ② 제1항에도 불구하고 정보통신서비스를 이용하는 자의 안전한 인터넷이용을 위하여 정보보호 공시를 도입할 필요성이 있는 자로서 사업 분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 제1항에 따른 정보보호 현황을 공시하여야 한다. 다만, 다른 법률의 규정에 따라 정보보호 현황을 공시하는 자는 제외한다. ③ 제1항에 따라 정보보호 현황을 공개한 자가 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조제1항에 따른 정보보호 관리체계 인증을 받고자 하는 경우에는 납부하여야 할 수수료의 100분의 30에 해당하는 금액을 할인받을 수 있다. ④ 과학기술정보통신부장관은 제1항 또는 제2항에 따른 공시 내용을 검증하고 공시 내용이 사실과 다른 경우 수정을 요청할 수 있다. ⑤ 제4항에 따른 공시 내용에 대한 검증 방법 및 절차 등 세부사항은 과학기술정보통신부령으로 정한다. 시행령 제8조(정보보호 공시) ① 법 제13조제2항 본문에서 “대통령령으로 정하는 기준에 해당하는 자”란 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자(이하 “정보보호공시의무자”라 한다)를 말한다. 1. 다음 각 목의 어느 하나에 해당하는 자 가. 「전기통신사업법」 제6조제1항에 따라 등록한 기간통신사업자 중 같은 법 시행령 제11조에 따른 회선설비 보유사업을 경영하는 자 나. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제46조제1항에 따른 집적정보통신시설 사업자 다. 「의료법」 제3조의4제1항에 따른 상급종합병원 라. 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행령」 제3조제1호의 클라우드컴퓨팅서비스를 제공하는 자 2. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제45조의3제1항 본문에 따라 정보보호 최고책임자를 지정하고 과학기술정보통신부장관에게 신고해야 하는 자로서 유가증권시장(「자본시장과 금융투자업에 관한 법률 시행령」 제176조의9제1항에 따른 유가증권시장을 말한다) 또는 코스닥시장(대통령령 제24697호 자본시장과 금융투자업에 관한 법률 시행령 일부개정령 부칙 제8조에 따른 코스닥시장을 말한다)에 상장된 주권을 발행한 법인 중 직전 사업연도의 매출액이 3,000억원 이상인 자 3. 전년도 말 기준 직전 3개월간 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따른 정보통신서비스(이하 “정보통신서비스”라 한다)의 일일평균 이용자 수가 100만명 이상인 자 ② 제1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 자는 정보보호공시의무자에서 제외한다. 1. 공공기관 2. 제1항제1호 또는 제3호에 해당하는 자 중 「중소기업기본법 시행령」 제8조제1항에 따른 소기업 3. 「전자금융거래법」에 따른 금융회사 4. 「전자금융거래법」에 따른 전자금융업자로서 「통계법」 제22조제1항에 따라 국가데이터처장이 고시하는 한국표준산업분류에 따른 정보통신업이나 도매 및 소매업을 주된 업종으로 하지 않는 자 ③ 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자가 법 제13조제1항 또는 제2항에 따라 정보보호 공시를 하는 경우에는 다음 각 호의 내용을 포함해야 한다. 1. 정보기술부문 투자 현황 대비 정보보호부문 투자 현황 2. 정보기술부문 인력 대비 정보보호부문 전담인력 현황 3. 정보보호 관련 인증ㆍ평가ㆍ점검 등에 관한 사항(해당하는 경우로 한정한다) 4. 그 밖에 정보통신서비스를 이용하는 자의 정보보호를 위한 활동 현황 ④ 법 제13조제1항 또는 제2항에 따라 정보보호 공시를 하는 경우에는 공시 주체의 정보보호 최고책임자가 주관하여 공시하여야 하며, 공시내용에 대해서는 미리 최고경영자의 확인을 거쳐야 한다. ⑤ 과학기술정보통신부장관은 법 제13조제1항 또는 제2항에 따른 정보보호 공시를 효과적으로 운영하기 위하여 전자공시시스템(이하 이 조에서 “전자공시시스템”이라 한다)을 구축ㆍ운영할 수 있다. ⑥ 법 제13조제1항 또는 제2항에 따라 정보보호 공시를 하려는 자는 매년 6월 30일까지 정보보호 현황을 전자공시시스템에 입력해야 한다. ⑦ 제1항부터 제6항까지에서 규정한 사항 외에 정보보호 공시내용의 작성기준, 공시 방법 및 절차 등에 필요한 사항은 과학기술정보통신부장관이 정하여 고시한다. 시행규칙 제3조의2(정보보호 공시 내용의 검증 방법 및 절차) ① 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조에 따른 한국인터넷진흥원(이하 “한국인터넷진흥원”이라 한다)은 법 제13조제4항에 따라 같은 조 제1항 또는 제2항에 따른 공시 내용에 대한 검증을 연 1회 이상 실시할 수 있다. ② 한국인터넷진흥원은 법 제13조제1항 또는 제2항에 따라 정보보호 현황을 공시한 자(이하 이 조에서 “정보보호공시자”라 한다)에게 제1항에 따른 검증을 위하여 필요한 자료의 제출을 요청할 수 있다. ③ 한국인터넷진흥원은 제1항에 따른 검증을 위하여 정보보호ㆍ정보기술ㆍ회계 분야의 전문가로 구성된 공시점검단을 운영할 수 있다. ④ 한국인터넷진흥원은 제1항에 따른 검증 결과 공시 내용이 사실과 다른 경우에는 이를 과학기술정보통신부장관에게 보고해야 한다. ⑤ 과학기술정보통신부장관은 제4항에 따라 보고받은 공시 내용에 대한 검증 결과를 검토하여 공시 내용의 수정이 필요하다고 인정하는 경우에는 해당 정보보호공시자에게 공시 내용의 수정을 요청할 수 있다. ⑥ 제1항부터 제5항까지의 규정에 따른 정보보호 공시 내용에 대한 검증 방법 및 절차, 수정 요청 등에 관한 세부 사항은 과학기술정보통신부장관이 정하여 고시한다.

 

아래에서는 위 법적 근거를 바탕으로 정보보호공시제도의 문제점, 예컨대 공시의무자 사이의 형평성, 정보보호 사고 반영 가능성이 적절한지 여부 등을 하나하나 지적해보려고 한다.

728x90

III. 현행 정보보호공시 제도의 문제점

 

1. 정보보호공시 의무대상자 사이의 형평성 문제

 

정보보호산업법 시행령 제8조 제1항에 따르면 「전기통신사업법」 제6조제1항에 따라 등록한 기간통신사업자 중 같은 법 시행령 제11조에 따른 회선설비 보유사업을 경영하는 자(제1호 가목), 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제46조제1항에 따른 집적정보통신시설 사업자(제1호 나목), 「의료법」 제3조의4제1항에 따른 상급종합병원(제1호 다목), 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행령」 제3조제1호의 클라우드컴퓨팅서비스를 제공하는 자(제1호 라목), 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제45조의3제1항 본문에 따라 정보보호 최고책임자를 지정하고 과학기술정보통신부장관에게 신고해야 하는 자로서 유가증권시장 또는 코스닥시장에 상장된 주권을 발행한 법인 중 직전 사업연도의 매출액이 3,000억원 이상인 자(제2호) 및 전년도 말 기준 직전 3개월간 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따른 정보통신서비스(이하 “정보통신서비스”라 한다)의 일일평균 이용자 수가 100만명 이상인 자(제3호)는 정보보호공시 의무대상에 해당하여, 동일하게 정보보호 투자 현황, 정보보호 인력 현황, 정보보호 관련 인증 유무, 정보보호 활동 현황을 정보보호 공시를 하여야 한다(시행령 제8조 제2항).

그러나 시행령 제8조 제1항 각호의 사업자들에게 일관적인 의무를 부여하기에는 각 사업자마다 성격이 상이하다. 예컨대 종합병원(시행령 제8조 제1항 제1호 다목)과 클라우드컴퓨터서비스를 제공하는 자(시행령 제8조 제1항 제1호 라목, 이하 ‘CSP’라고 한다)의 경우는 성격이 매우 상이하다. 물론 두 사업자 모두 개인정보유출 시 막대한 사회적 손실이 발생하는 것은 사실이나, 두 기관이 정보보호 공시제도를 통해 얻을 수 있는 목적은 상이하다. CSP의 경우 서비스 신뢰도를 증명하여 투자 유인을 위한 것이긴 반면, 상급종합병원의 경우 환자의 개인정보 및 의료정보 보호를 증명하는 것에 있다. 즉 투자의 측면에서는 CSP의 경우 정보보호공시와 투자가 일치하지만, 의료가간이 경우는 본업인 의료 분야에서의 투자가 더욱 활발하므로 동일한 기준으로 공시를 한다면, 상대적으로 병원이 낮게 평가될 수가 있다.

또한 보안의 측정 지표에도 차이가 있어야 한다. 상급종합병원은 의료 기기에 대한 보안 수준을 확인해야하고, CSP의 경우 클라우딩서비스를 위한 가용성, 데이터 격리에 대한 보안 수준을 확인하여야 하는데, 현행 정보보호산업법에 따르면 이들에게 동일한 의무 수준을 부여하기 때문에 각 산업 현장의 정보보안 수준을 제대로 공시할 수 있을지에 대한 의문이 든다.

 

2. 유출 사고 반영의 정도

 

현재 정보보호산업법 시행령에서 정보보호공시 의무대상자에게 부과하는 공시 내용는 정보보호 투자 현황, 정보보호 인력 현황, 정보보호 관련 인증 유무, 정보보호 활동 현황을 정보보호 공시이다(시행령 제8조 제2항). 그러나 사실 이용자의 관점에서 평시의 정보보호 인력, 정보보호 인증 유무 등 보다는 사고가 발생한 경우 이를 반영하여 기업이 어떻게 대응했는지에 대한 사실이 매우 중요할 것이다.

그러나 정보보호공시제도 시행 이후에도 대형 보안 사고는 지속되고 있어, 정보보호 공시제도가 실제로 기업의 보안 역량 강화와 투자 확대에 기여하고 있는지에 대한 의문이 제기된다. 예를 들어, 과학기술정보통신부가 공개한 KISA의 ｢2024 정보보호 공시 현황 분석 보고서｣에 따르면, 의무공시 기업의 정보보호 투자액과 전담 인력 규모는 증가 추세를 보였으나, 공시 항목이 사고 대응 효과나 예방 성과와 직접적으로 연결되는 구조는 확인되지 않았다. 따라서 정보보호 공시사항에 있어 사고 대응에 관한 항목을 추가해야할 필요가 있다.

 

3. 이용자 편의성

 

첫 번째 문제는 정보보호 공시 의무 대상의 범위와 관련된다. 현재 금융회사, 공공기관이나 준정부기관은 이 제도의 대상에서 제외되어 있어, 이용자의 알 권리가 제한되고 있다. 또한, 매출액 기준이 상장 기업에만 적용되어 있어, 상당한 매출을 기록하고 있음에도 불구하고 상장되지 않은 기업은 이 의무에서 벗어나 있다. 이러한 제한은 이용자가 특정 기업의 정보보호 공시 내용을 확인하는 데 있어 장애가 될 수 있다. 따라서, 정보보호 공시의 법률적 근거를 확대하여, 개인정보를 취급하며 일정 규모 이상인 모든 기업이 공시를 수행하도록 하는 제도적 개선이 필요하다.

두 번째 문제는 이용자가 공시 내용을 쉽게 이해할 수 없다는 점이다. 예를 들어, 정보보호 투자액이 전체 예산의 10%라고 공시될 경우, 이 비율이 적절한지, 부족한지에 대한 판단이 어렵다. 재무 공시와 유사하게 복잡하고 전문적인 형태로 제공되는 정보보호 공시는, 일반 이용자에게 정보를 제공하기 위한 목적에 맞지 않는 어려운 기준과 양식을 포함하고 있다. 이에 비해, 재무 공시는 전문적인 회계 법인의 감사를 통해 해당 내용이 검증되며, 이는 투명성 확보를 위한 중요한 통제 장치로 작용한다. 정보보호 공시 역시 이용자가 이해할 수 있는 형태로 개선되어야 한다.

세 번째 문제는 공시 내용의 검토 절차가 미흡하다는 점이다. 현재 정보보호 공시는 감리 및 회계 법인의 사전 검토 제도를 통해 진행될 수 있으나, 이러한 사전 검토를 거치지 않고도 공시할 수 있으며, 이 경우 실질적인 문제가 발생하지 않는다. 또한, 한국인터넷진흥원의 사후 점검은 제한된 수의 기업에만 적용되기 때문에, 공시의 질을 보장하는 데 있어 한계가 있다. 이러한 상황은 정보보호 공시의 신뢰성을 훼손할 수 있으며, 따라서 이용자의 신뢰를 얻기 위한 더 엄격하고 체계적인 검토 및 감독 절차의 수립이 요구된다.

 

4. 회사 편의성

 

기업들은 정보보호 공시가 실제로 정보보안 강화에 얼마나 효과적인지에 대해 의문을 가질 수 있다. 공시의 목적이 정보보호에 대한 인식을 높이고 투자를 촉진하는 것이지만, 실제로 기업의 보안 수준 향상에 이바지하는지에 대한 명확하지 않으며, 정보보호 공시 담당자는 비율을 높이기 위해 이미 사용된 예산을 재검토하여, 정보보안 투자액을 상승하기 위한 사후 노력으로 실제 투자액 증가로 이어질지는 의문이다.

 

5. 민사적 책임의 부재

 

물론 정보보호 사고 발생으로 고객 등에게 피해가 발생한다면, 민법상 손해배상책임(민법 제750조)이 존재하나, 정보보호공시의 미흡으로 이용자에게 손해가 발생하더라도 정보보호산업법 상 손해배상 근거가 없는 형편이다. 이는 기업으로 하여금 정보보호공시 제도를 형식적으로만 공시하고 실질적인 보안 문제 해결에 대한 유인을 주지 못한다.

 

IV. 현행 정보보호공시 제도의 개선안

 

1. 공시대상 의무자 별 공시대상 사항 세분화

 

사업자별 유형 별로 보안의 측정 지표에도 차이를 두어야 한다. 예컨대 상술한 것과 같이 상급종합병원은 의료 기기에 대한 보안 수준을 확인해야하고, CSP의 경우 클라우딩서비스를 위한 가용성, 데이터 격리에 대한 보안 수준을 확인하여야 하여야 한다, 따라서 시행령 제8조 제2항의 공시 대상 사항을 보다 구체화하는 내용으로 개정하여야 한다.

특례규정 도입도 방법이 될 수 있다. 상법은 제13절 상장회사에 대한 특례 및 제542조의2 등에서 상장기업이 일정 요건을 충족하면 특례규정이 적용되도록 하고 있다.

이처럼 시행령 제8조 제1항 제1호 각 목의 기업들은 해당 사업자의 특성에 맞는 공시사항을, 제2항 및 제3항의 경우 기업의 규모에 따라 공시대상을 확장하는 특례규정을 도입하는 방법을 제안한다.

 

 

3. 유출 사고 전후 반영 규정 도입

 

(1) 공시 내용에 유출 사고 전후의 투자 현황 미 정보호 인력현황 등을 추가

 

현행 정보보호산업법 시행령에 따르면 정보보호공시 의무대상자에게 부과하는 공시 내용는 정보보호 투자 현황, 정보보호 인력 현황, 정보보호 관련 인증 유무, 정보보호 활동 현황을 정보보호 공시이다(시행령 제8조 제2항). 이들로는 유출 사고 전후의 해당 기업의 대응 현황을 파악하기 어렵다.

따라서 시행령 제8조 제2항에 유출 사고 전후의 투자 현황, 인력 현황을 추가하여 사고 전의 투자 현황 및 인력과 사고 후의 투자 현황 및 인력을 대조할 수 있도록 하여야 한다.

 

(2) 정기 공시 사항과 수시 공시 사항의 구분

 

현행 정보보호산업법 시행령은 공시의무대상자는 매년 6월 30일까지 정보보호 현황을 전자공시시스템에 입력해야 한다(시행령 제8조 제6항)고 규정하고 있다. 이 경우 사고가 7월 1일에 발생하게 되면 1년 뒤에야 해당 사고가 반영된 공시가 이루어져서 시기적절하지 않다.

비슷하게 공시제도를 운영하고 있는 가맹사업법에서는 가맹본부에게 정보공개공시 의무를 부과하고 있는데, 정보공개 변경 사항이 발생한 경우 그 중요도에 따라서 변경 사유가 발생한 날부터 30일(수시변경), 분기가 끝난 후 30일(분기변경) 및 사업연도가 끝난 후 120일 또는 180일(정기변경)로 세분화 하고 있다(가맹사업법 시행령 [별표의2]).

정보보호공시제도가 있어서도 유출 사고가 발생하는 경우는 공시 내용에 신속히 반영될 필요가 있으므로, 수시 변경 사항으로 도입하는 방안을 고려해야할 필요가 있다.

 

■ 가맹사업거래의 공정화에 관한 법률 시행령 [별표 1의2] <개정 2021. 11. 19.>
정보공개서의 변경 사항 및 변경 기한(제5조의3제1항 관련)
구분	정보공개서 기재사항	변경 기한
변경등록사항	별표 1 제1호: 전체 별표 1 제2호: 가목, 나목(가맹본부와 관련된 정보만 해당한다), 다목부터 마목까지, 사목(대표자와 관련된 정보만 해당한다) 및 자목 별표 1 제3호: 나목 별표 1 제4호: 전체	변경사유가 발생한 날부터 30일
	별표 1 제2호: 차목 별표 1 제3호: 자목1) 및 2) 별표 1 제5호: 가목, 나목1)ㆍ3) 및 다목 별표 1 제6호: 라목부터 차목까지 별표 1 제8호: 전체 별표 1 제9호: 전체	변경사유가 발생한 분기가 끝난 후 30일
	별표 1 제2호: 바목 및 아목 별표 1 제3호: 다목부터 아목까지, 자목3) 및 차목 별표 1 제5호: 나목2) 별표 1 제6호: 가목 및 나목 별표 1 제10호: 전체	매 사업연도가 끝난 후 120일. 다만, 재무제표를 작성하는 개인사업자인 가맹본부는 매 사업연도가 끝난 후 180일 이내에 정보공개서 변경등록을 신청할 수 있다.
변경신고사항	별표 1 제2호: 나목(가맹본부의 특수관계인과 관련된 정보만 해당한다), 사목(대표자 이외의 임원과 관련 된 정보만 해당한다) 별표 1 제3호: 가목, 카목 및 타목 별표 1 제7호: 전체	변경사유가 발생한 분기가 끝난 후 30일

 

4. 이용자 편의성 및 회사 편의성 제고

 

정보보호공시제도에 있어서 이용자 및 회사의 편의성은 제고 되어야 한다. 공시 내용의 대상을 이용자가 필요한 사항이나 회사가 투자 유인을 위해 필요한 사항이 반영될 수 있어야 한다. 예컨대 상술한 사고 전후의 변화를 판단할 수 있는 정보는 이용자가 필요로하는 사항이므로 회사에 대한 투자 여부 판단에 큰 도움이 될 것이다.

중요한 것은 이러한 이용자와 회사의 요구는 시기에 따라 변동이 생기기 마련이다. 이를 위해 거번넌스 구축을 제안한다. 근로기준법이나 최저임금법에서는 노동계, 기업계 그리고 공익위원이 함께 참여하여 근로기준에 대한 사항이나 최저임금을 결정하는 위원회를 구성하고 있다. 정보보호공시 제도에 있어서도 이용자 측을 대변하는 위원, 기업을 대변하는 위원, 공익을 대변하는 위원으로 구성된 위원회를 구성하고 이들의 회의를 통해 유효하고 유의미한 공시 내용을 대상으로 할 수 있게 하는 방안을 제안해 본다.

 

5. 손해배상 근거 규정 도입 등

 

(1) 손해배상 근거 규정의 도입

 

현재 공시를 하지 않는 경우 행정적 제재나 형사책임을 물을 수 밖에 없고 별도의 민사적 불법행위 책임의 근거 규정은 존재하지 않는다. 물론 민법상 불법행위 책임을 물을 수 있으나, 증명대상이 불명확하다는 점에서 이용자가 기업을 상대로 손해배상청구를 하기는 쉽지 않다. 따라서 정보보호산업법에서 민사적 불법행위 책임에 대한 근거 규정을 마련하고 적절한 입증책임의 분배를 이뤄야 한다. 예컨대 공시에 해태하거나 허위사실을 공시한 경우, 이를 믿고 투자한 이용자에 대한 손해배상 책임 등을 규정할 수 있겠다.

또한 필요하다면 징벌적 손해배상 책임을 도입하는 것도 방법이다. 공정거래법이나 특허법 등에서는 3배 이하의 징벌적 손해배상 제도를 두고 있다. 마찬가지로 고의 등으로 공시를 해태하거나 허위 사실을 공시한 기업에 징벌적 손해배상을 하게 함으로써 기업이 정보보호공시를 충실히 할 수 있도록 민사적으로도 강제하는 방법이다.

 

특허법 제128조(손해배상청구권 등) ⑧ 법원은 타인의 특허권 또는 전용실시권을 침해한 행위가 고의적인 것으로 인정되는 경우에는 제1항에도 불구하고 제2항부터 제7항까지의 규정에 따라 손해로 인정된 금액의 5배를 넘지 아니하는 범위에서 배상액을 정할 수 있다.

 

현행 정보보호산업법에 따르면 기업에게 충실하고 유효적절한 공시를 하도록할 마땅한 강제수단이나, 유인이 존재하지 않으므로 이러한 민사적 손해배상 및 징벌적 손해배상의 도입으로 기업에게 충실한 공시를 하도록 강제하는 추가적인 수단이 필요하다.

 

(2) 손해액 추정 규정 도입

또한 손해가 발생하더라도 이용자의 입장에서는 손해액 증명이 어려울 수 있다. 우리나라의 경우 전보적 손해배상 제도로서 손해입은 범위에서의 손해배상액이 결정되는 것이 원칙이고, 해당 손해는 증명이 되어야 한다. 또한 부실한 정보공시 등과 손해 사이의 인과관계 역시 인정되어야 한다. 그러나 이용자 입장에서 이러한 손해의 범위를 증명하기는 매우 어렵다. 마찬가지로 지식재산권 같은 무체재산권법에서는 손해의 범위를 증명하기 어려우므로 이를 위해 손해액 추정 규정을 두고 있다.

 

특허법 제128조(손해배상청구권 등) ② 제1항에 따라 손해배상을 청구하는 경우 그 권리를 침해한 자가 그 침해행위를 하게 한 물건을 양도하였을 때에는 다음 각 호에 해당하는 금액의 합계액을 특허권자 또는 전용실시권자가 입은 손해액으로 할 수 있다. 1. 그 물건의 양도수량(특허권자 또는 전용실시권자가 그 침해행위 외의 사유로 판매할 수 없었던 사정이 있는 경우에는 그 침해행위 외의 사유로 판매할 수 없었던 수량을 뺀 수량) 중 특허권자 또는 전용실시권자가 생산할 수 있었던 물건의 수량에서 실제 판매한 물건의 수량을 뺀 수량을 넘지 않는 수량에 특허권자 또는 전용실시권자가 그 침해행위가 없었다면 판매할 수 있었던 물건의 단위수량당 이익액을 곱한 금액 2. 그 물건의 양도수량 중 특허권자 또는 전용실시권자가 생산할 수 있었던 물건의 수량에서 실제 판매한 물건의 수량을 뺀 수량을 넘는 수량 또는 그 침해행위 외의 사유로 판매할 수 없었던 수량이 있는 경우 이들 수량(특허권자 또는 전용실시권자가 그 특허권자의 특허권에 대한 전용실시권의 설정, 통상실시권의 허락 또는 그 전용실시권자의 전용실시권에 대한 통상실시권의 허락을 할 수 있었다고 인정되지 않는 경우에는 해당 수량을 뺀 수량)에 대해서는 특허발명의 실시에 대하여 합리적으로 받을 수 있는 금액 ③ 삭제 ④ 제1항에 따라 손해배상을 청구하는 경우 특허권 또는 전용실시권을 침해한 자가 그 침해행위로 인하여 얻은 이익액을 특허권자 또는 전용실시권자가 입은 손해액으로 추정한다. ⑤ 제1항에 따라 손해배상을 청구하는 경우 그 특허발명의 실시에 대하여 합리적으로 받을 수 있는 금액을 특허권자 또는 전용실시권자가 입은 손해액으로 하여 손해배상을 청구할 수 있다. ⑥ 제5항에도 불구하고 손해액이 같은 항에 따른 금액을 초과하는 경우에는 그 초과액에 대해서도 손해배상을 청구할 수 있다. 이 경우 특허권 또는 전용실시권을 침해한 자에게 고의 또는 중대한 과실이 없을 때에는 법원은 손해배상액을 산정할 때 그 사실을 고려할 수 있다. ⑦ 법원은 특허권 또는 전용실시권의 침해에 관한 소송에서 손해가 발생된 것은 인정되나 그 손해액을 증명하기 위하여 필요한 사실을 증명하는 것이 해당 사실의 성질상 극히 곤란한 경우에는 제2항부터 제6항까지의 규정에도 불구하고 변론 전체의 취지와 증거조사의 결과에 기초하여 상당한 손해액을 인정할 수 있다.

 

위와 같이 정보보호공시를 해태하거나 허위 공시를 한 경우에도 손해액 추정을 도입한다면, 이용자의 입장에서 손해배상청구를 적극적으로 제기할 수 있으며, 정보보호공시 의무 기업에 대해서도 충실한 정보보호공시에 대한 부담감을 부과할 수 있을 것이다.

 

V. 결론

 

지금까지 정보보호공시제도의 문제점과 개선방향에 대하여 살펴보았다. 정보보호공시제도는 정보보호 측면에서 이용자의 알 권리 보장 및 객관적인 기업 선택의 기준을 제시하고, 기업은 정보보호를 기업경영의 중요요소로 포함하여 자발적인 정보보호 투자를 유도하는 것에 목적으로 도입되었으나, 현재까지 보완되어야할 부분이 많다.

정보보호공시제도가 이용자와 기업에게 효과적이려면, 이용자 및 기업에게 편의적임과 동시에 기업에게는 충실한 정보보호공시 제도가 이루어질 수 있도록 강제하는 수단도 마련되어야 한다. 또한 각 사업자들의 구체적인 상황에 맞는 공시 내용이 정해져야 하며, 공시의 시기도 시의적절하여야 한다. 따라서 각 사업자들의 형편에 맞는 공시 내용, 사고 발생 전후를 비교할 수 있는 정보의 공시, 사고 후 신속한 공시 변경를 위한 법제도 개정을 제안한다.

또한 기업이 이러한 의무를 다하지 않는 경우 그에 상응하는 책임을 부담할 수 있어야 한다. 따라서 정보보호산업법에 손해배상의 근거 규정을 두고, 필요시 징벌적 손해배상 제도의 도입을 검토하여야 하며, 손해액 추정 규정도 두어야 할 것을 제안한다.

마지막으로 공시내용을 결정할 때 이용자와 기업이 필요로 하는 사항이 반영할 수 있어야 할 것이다. 따라서 이를 위해 이용자를 대표하는 위원, 기업을 대표하는 위원 그리고 공익을 대표하는 위원으로 구성된 위원회를 통한 거버넌스 체제 구축을 제안한다.

 

참고문헌

 

[1] 정보보호 공시제도의 실효성과 정책 개선 방향: 보안사고 발생 기업의 공시 행태 변화 분석, 융합보호논문지 제25권 제3호, 정은수, 2025.

 

[2] 정보보호 공시 제도의 분석과 개선 방안에 관한 제안, 정원치, 융합과학기술사회연구, 제주대학교, 2023.

 

[3] 정보보호산업법

 

[4] 정보보호산업법 시행령

 

[5] 정보보호산업법 시행규칙

 

[6] 상법

 

[7] 가맹사업법 시행령