I. 서론
사회가 빅데이터 시대, AI 시대로 발전해옴에 따라 데이터가 가지는 경제적 가치의 중요성도 커지고 있다. 특히 기업은 데이터를 바탕으로 경제활동을 하고 높은 수익을 얻을 수 있게 되었다. 그러나 기업의 영리활동은 경쟁을 필수적인 요소로 두고 있고, 타기업의 핵심 데이터를 합법적이든 불법적이든 획득하고자 하는 행위들이 점차 증가하고 있다. 이때 기업이 가지고 있는 데이터 등은 기업 뿐만 아니라, 제3자 예컨대 거래처, 소비자 등의 개인정보를 포함하고 있어 데이터가 유출된다면 기업은 물론 기업과 거래처, 소비자 모두에게 피해 및 손해가 발생하게 된다. 따라서 사이버 보안 문제는 단순히 기업의 문제가 아니라 우리 사회 전체의 문제이다. 사이버 보안 문제를 위해서 기업의 책임을 강화하는 방향이 검토되고 있는데 그 중 기업 경영진의 책임을 강화하는 방안에 대해 검토한다.
II 기업 경영진의 책임을 강화해야할 당위성
1. 사이버 보안 사고 피해의 광범위성
먼저 기업 경영진의 책임을 강화해야할 이유는 사이버 보안 사고가 발생하면 그 사고 피해의 광범위하다. 단순히 기업의 자산손실이 아닌, 사고 기업과 연관된 자회사, 거래처, 소비자의 개인정보 등이 함께 유출되기 때문에 사고 피해는 광범위하다. 더욱 중요한 것은 소비자의 개인정보가 유출되는 경우 해당 개인정보를 바탕으로 발생한 사고와 관계 없는 분야에까지 사고의 피해는 확대될 수 있다. 특히 한번 유출된 정보는 다시 복구하더라도 이미 유출되어 경제적 가치가 훼손되는 경우(예: 영업비밀), 다른 분야로 사고가 확대되는 경우(예: 개인정보) 등 사고로 발생한 손해는 비가역적이다. 따라서 사이버 보안 문제는 기업만의 문제가 아니라 사회의 전체의 문제이므로, 기업 경영진에게 단순히 경영상의 책임을 넘어 사회적 책임을 부담시켜야할 필요가 인정된다.
2. 사전예방의 중요성
앞서 설명한 것과 같이 사이버 보안 사고 피해는 광범위하고 비가역적이다. 따라서 사후적 조치보다 중요한 것이 사전적 예방조치이며, 기업이 사이버 보안사고를 방지하기 위해 정책을 수립하는 것은 기업 경영진의 몫이므로 이들에게 사이버보안 책임을 부담시킬 필요가 있다.
다만 사전예방에 대한 경영진의 관리감독이 적절했음에도 보안사고가 발생하는 것을 완전히 피할 수는 없다. 따라서 경영진의 관리의무 이행 여하에 따라 책임의 정도도 달리할 필요가 있다. 만약 관리의무 이행과 관계 없이 일관적인 민사적, 형사적 책임을 부담시킨다면 헌법상 형벌책임비례의 원칙에 반할 수가 있으므로 입법시 이에 대한 고려는 필요하다.
3. 현행 제도의 제도적 공백
| 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제45조의3(정보보호 최고책임자의 지정 등) ① 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고하여야 한다. 다만, 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 신고하지 아니할 수 있다. ② 제1항에 따른 신고의 방법 및 절차 등에 대해서는 대통령령으로 정한다. ③ 제1항 본문에 따라 지정 및 신고된 정보보호 최고책임자(자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우로 한정한다)는 제4항의 업무 외의 다른 업무를 겸직할 수 없다. ④ 정보보호 최고책임자의 업무는 다음 각 호와 같다. 1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다. 가. 정보보호 계획의 수립ㆍ시행 및 개선 나. 정보보호 실태와 관행의 정기적인 감사 및 개선 다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련 라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행 2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다. 가. 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무 나. 「정보통신기반 보호법」 제5조제5항에 따른 정보보호책임자의 업무 다. 「전자금융거래법」 제21조의2제4항에 따른 정보보호최고책임자의 업무 라. 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무 마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 ⑤ 정보통신서비스 제공자는 침해사고에 대한 공동 예방 및 대응, 필요한 정보의 교류, 그 밖에 대통령령으로 정하는 공동의 사업을 수행하기 위하여 제1항에 따른 정보보호 최고책임자를 구성원으로 하는 정보보호 최고책임자 협의회를 구성ㆍ운영할 수 있다. ⑥ 정부는 제5항에 따른 정보보호 최고책임자 협의회의 활동에 필요한 경비의 전부 또는 일부를 지원할 수 있다. ⑦ 정보보호 최고책임자의 자격요건 등에 필요한 사항은 대통령령으로 정한다. |
사이버보안과 경영진에 대한 현행 제도는 정보보안최고책임자 제도(정통망법 제45조의3)를 예로 들 수 있다.
정보통신서비스 제공자(ISP, 온라인 서비스 제공자 등)는 정보보호 최고책임자를 지정해야 하고 지정한 후 과학기술정보통신부 장관에게 신고해야 한다는 제도이다.
기업 규모에 따라 지정 대상이 세분화되어 있으며, 180일 이내 미신고 시 3천만 원 이하의 과태료가 부과될 수 있다.
CISO 자격 요건은 정보보호/IT 분야 석사 이상 학위 취득자, 정보보호/IT 분야 학사 취득 후 관련 경력 3년 이상인 자 또는 관련 경력이 있는 임원급 등이며 일정 규모 이상의 기업은 CISO를 임원급으로 지정해야 한다.
CISO의 임원 체계, 이사회 보고 체계, 보안 투자 실적 등이 미흡할 경우, 침해사고 시 과징금 감경을 받지 못하거나 중과실이 인정될 수 있다.
다만 현행 CISO 제도는 CISO 지정 여부에 중점을 두고 있고 사고 예방이나, 사고 후 조치 등에 중점을 두고 있지 않으며, 사이버 보안 사고 책임이 CISO에 집중된 모습을 보인다. 또한 사이버 보안 사고의 중요성에 비해 자격 요건이 지나치게 낮은 것은 아닌가하는 의문이 든다. 따라서 CISO 제도를 발전시켜 CISO 뿐 아니라 최고경영책임자에 대한 책임도 강화해야하며, CISO 제도도 자격 강화, 사고 중심의 규제 강화로 개선되어야 한다고 생각한다.
4. 비례성 검토
물론 위와 같이 기업 경영진에게 사이버 보안책임을 강화한다면 기업으로서는 경영, 재정상의 부담을 느낄 수 있게 된다. 그러나 상술한 바와 같이 사이버 보안 문제는 더 이상 기업만의 문제가 아닌 사회전반적인 문제가 되었다. 기업이 부담해야할 책임보다 경영진의 책임을 강화하여 사이버 보안을 예방으로부터 얻어지는 공익이 훨씬 크기 때문에, 기업으로서도 사회적 책임으로 이를 수인하는 것이 정당하다고 생각된다.
III. 결론
사이버 보안 사고 피해의 광범위성, 사전예방의 중요성 등을 이유로 경영진에게 사이버 보안에 대한 책임을 부여하는 입법방안은 정당하다고 생각된다. 특히 현행 CISO 제도로는 단순히 CISO 지정 및 신고 유무 등 형식적인 부분에 치중되어 있는 모습이 보여, CEO에 대한 책임확대, 형식보다 사고 중심의 제도 개선 등의 방안이 필요하다고 사료된다.
물론 이러한 책임 강화는 기업의 부담으로 다가올 수 있으나, 이런 기업의 사익보다, 사회전체의 문제가 된 사이버 보안 문제에 기업이 책임을 져야하는 공익이 더욱 크므로 사이버 보안 사고 예방을 위해 기업 경영진이 이러한 책임을 부담하는 것은 타당하다고 생각된다.
참고문헌
[1] 정보통신망 이용촉진 및 정보보호 등에 관한 법률
'변호사 > AIㆍITㆍSW법' 카테고리의 다른 글
| 전화와 이메일 매체 차이가 Do-Not-Call Act와 CAN-SPAM Act 규제 설계에 미친 영향 (0) | 2026.05.25 |
|---|---|
| CLOUD Act는 글로벌데이터거버넌스에서‘ 미국중심주의’를 강화하는지 EU와 중국법과 비교 (0) | 2026.05.18 |
| AI 법에 있어 미국과 중국의 접근 차이 (0) | 2026.05.04 |
| AI의 특성은 무엇일까? (0) | 2026.05.03 |
| AI와 로봇 관련 법률과 근본적인 법적기준의 변화에 대한 검토 (0) | 2026.05.02 |