37 2026. 2. February Vol. 704 이슈와 쟁점 법무사 시시각각 재유통되기 때문에 피해는 일회성에 그치지 않고 장 기화·중첩화되는 경향을 보인다. 최근의 해킹은 단순 한 정보 탈취를 넘어 랜섬웨어를 통한 서비스 마비, 금융 시스템 교란, 여론 조작과 같은 사회 기반 질서 에 대한 직접적인 위협으로 진화하고 있다. 이는 사이버 해킹이 단순한 사법적 대응의 대상이 아니라, 사회 안전과 국가 안보 차원의 위험 관리 대 상임을 시사한다. 이러한 구조적 특성상, 사후적 책임 추궁만으로는 피해 확산을 방지하기 어렵고, 예방 중 심의 제도 설계가 필수적이다. 나. 사후 중심 제도 대응의 한계 현행 법·제도는 해킹사고 발생 이후 과징금 부과, 행정 제재, 손해배상 책임 부과 등 사후적 규율에 초 점이 맞춰져 있다. 그러나 대규모 해킹사고의 경우 피해가 이미 회복 불가능한 수준에 이른 뒤에야 제재 가 이루어지는 경우가 대부분이며, 집단소송을 통한 피해 구제 역시 수년의 시간이 소요되는 것이 현실이 다. 더 나아가 기업의 관점에서 보면, 일정 수준의 과 징금이나 손해배상 위험이 사전 보안 투자비용보다 낮다고 판단될 경우, 보안 투자가 합리적 선택으로 작동하지 않는 문제도 발생한다. 이는 현행 제도가 예방적 기능보다는 사후적 책임 분배에 치중되어 있 으며, 보안 강화를 유도하는 유인 구조로 충분히 작 동하지 못하고 있음을 보여준다. 우리나라는 「개인정보 보호법」을 중심으로 개인정 보 처리자의 안전조치 의무, 유출 사고에 대한 신고· 통지 의무, 과징금 부과 제도 등을 마련해 왔다. 최근에는 고의 또는 중과실로 인한 개인정보 침해에 대해 징벌적 손해배상 제도를 도입함으로써 기업의 책임을 한층 강화하였다. 이는 개인정보 보호의 중요성을 제도적으로 확인했 다는 점에서 의미가 있다. 그러나 이러한 제도들은 여 전히 사고 발생 이후의 법적 책임을 강화하는 데 초점 이 맞춰져 있어, 기업의 보안 역량을 실질적으로 향상 시키는 예방적 장치로 기능하는 데에는 한계가 있다. 특히 보안 투자 수준이나 위험관리 체계의 실효성을 사전에 평가·관리하는 규범은 상대적으로 미흡한 실 정이다. 또한, 국가안보 차원의 정책 대응에 있어서 정부는 국가정보원, 과학기술정보통신부, 개인정보보호위원 회 등을 중심으로 주요 정보통신 기반시설 보호 정책, 사이버 위기 경보 체계, 공공기관 보안 점검 제도를 운영하고 있으며, 일정 규모 이상의 기업에 대해 정보 보호·개인정보 보호 관리체계(ISMS-P) 인증을 의무 화하여 최소한의 보안 기준을 설정하고 있다. 다만, 이러한 제도는 공공 부문과 일부 대기업 중심 으로 적용되고 있으며, 플랫폼·통신·금융 등 민간 영 역 전반에 걸쳐 동일한 수준의 책임을 요구하기에는 제도적 공백이 존재한다. 또한 인증 중심의 관리 체계 가 형식적 요건 충족에 그칠 위험도 지속적으로 지적 되고 있다. 피해자 보호를 위해서는 집단 피해 구제를 위한 제 도의 정비가 필요하다. 대규모 해킹사고는 피해자가 수십만 명에서 수백만 명에 이르는 경우가 많아, 개별 소송 방식은 비효율적일 뿐만 아니라 사회적 비용을 급격히 증가시킨다. 집단소송제의 실효성을 제고하거나, 일정 요건 하 03 04 사이버 해킹 대응을 위한 입법·정책적 현황 피해자 보호와 사회적 비용 최소화를 위한 제도적 준비
RkJQdWJsaXNoZXIy ODExNjY=