최근 연이어 발생하는 대규모 정보유출 사고는 기업의 보안책임 뿐만 아니라 사이버보안 체제의 재정비와 법제도의 개선방향 등 심도있는 논의를 요하는 문제이다. 정부 각처는 물론 국회 역시 이 문제를 깊이 고민해야할 시점이다.

그런데 이에 대처하는 정부의 대응은 조사와 책임 규명을 넘어 해당 기업을 둘러싼 모든 이슈를 한꺼번에 끌어와 이렇게나 나쁜 기업이라고 주홍글씨를 새기는 데에 급급한 모습이다. 발생한 것은 정보보안 문제인데 노동 문제나 회사 구조는 물론 비지니스 모델이나 소상공인 정책에 대한 협조수준, 심지어 발언 태도를 문제삼아 엄히 단죄하겠다는 모습은 지금이 대체 어느 시대인가 궁금하게 한다. 정보보안 사고를 빌미로 기업의 전반적 경영 성과와 정책 협조 여부를 정부와 국회의 종합 심판대에 올리는 것은 법치국가 원리에 비추어 볼 때, 정상적인 법질서의 작동 방식이라고 보기 어렵다.

법치국가에서 행정조사와 제재는 합리적 조사목적의 설정에 따른 구체적 행위확정과 인과관계를 전제로 한다. 이 경계가 지켜지지 않으면, 법적으로 비례성 원칙이나 부당결부 금지원칙 등이 문제된다. 형사사건에서도 별건수사가 제한되는 것과 마찬가지로 특정 사건을 계기로 하여 조사목적에 적합하지도 않으며 직접적 관련도 없는 사안을 끌어와 압박의 수단으로 삼는 행태는 국가 공권력 남용의 전형으로 평가된다. 그럼에도 최근 정보유출 및 보안 사고에 대해 이루어지는 일련의 조사들은 이런 원칙들을 차츰 무너뜨리고 있다. 정보보안 사고가 모든 분야 조사, 수사의 단초로 자리잡는 것이 아닐까 우려될 정도이다.

문제는 이러한 조사 방식이 기업의 정보보안 체계를 실질적으로 강화하지도 못한다는 점이다. 보안 사고의 원인은 기술적 취약점, 내부 통제 체계, 외주 관리 구조 등 기술적·관리적 측면에서 정밀하게 분석되고 그에 따른 책임 역시 세부적으로 정해져야 할 사안이다. 조사 범위가 무차별적으로 확장될수록 논의는 산만해지고 보안 체계 개선이라는 핵심 과제는 주변부로 밀려난다. 이는 기업에 엄중한 보안책임을 묻는 것처럼 보이지만 실제로는 정보보안에 대한 책임 소재를 불분명하게 할 뿐만 아니라 최적의 개선방안에 대하여 모두가 고민할 수 있는 기회를 놓치는 결과로 이어진다.
 

더 우려스러운 것은 이러한 흐름이 본보기 규제, 나아가 여론 주도의 감정적 처벌로 전환되고 있다는 점이다. 이러한 방식의 규제는 기업들로 하여금 실질적 보안 투자보다는 단기적 리스크 회피에만 집중하게 만들어, 결과적으로 조사 대응 비용과 규제 불확실성만 키울 뿐이다. 이는 산업 전체의 경쟁력 약화로 귀결되며 소비자와 이용자에 대한 불이익으로 돌아온다. 사회적 분노를 특정 기업에 집중시켜 얻어낸 분풀이의 댓가라 하기에는 너무 해악이 큰 규제방식이 아닐 수 없다.

지금 필요한 것은 전방위적 '기업 죽이기'가 아니다. 정작 필요한 것은 △사안 중심의 조사 △범위가 명확한 책임 추궁 △보안 사고 재발 방지에 초점을 둔 제도 개선이다. 정보보안 사고는 정보보안의 문제로 다루어져야 하며, 그 범위를 넘어선 과도한 결부와 확장은 경계되어야 한다. 부당결부와 감정적 제재는 결코 법치주의에 가깝지 않다. 그 피해는 산업과 시장 전체가 떠안게 되고 더 나아가 결국 사회 전 영역에서 법치행정은 후퇴하게 된다.

대체 무엇을 위한 조사인지 방향에 대한 점검이 필요하다. 현재 발생하는 정보보안 사고가 기업만의 문제인지, 아니면 보다 합리적 제도 개선가 함께 필요한 것인지, 누구에게 어떤 책임을 어느 정도 지게 할 것인지, 정보보안을 명분으로 한 과도한 개입이 관행화되고 있는 것은 아닌지 성찰이 필요하다.