정보보호는 이제 기업 생존의 필수 조건입니다. 하지만 최근의 흐름을 보면, 국가는 해커라는 '총 든 강도'를 막지 못한 기업에게 "왜 방탄복을 더 완벽하게 입지 않았느냐"며 가혹한 매질을 가하고 있습니다. 정작 총을 쏜 범인에 대한 추적과 처벌은 무력하기 짝이 없는 상황, 이 불공정한 게임의 실체를 파헤칩니다.
1. 잡을 수 없는 유령: 공격자 처벌의 현실적 장벽
공격자를 엄벌에 처해야 한다는 원칙에는 모두가 동의합니다. 하지만 현실은 녹록지 않습니다.
익명성과 국경의 실종: 해커들은 다크웹, VPN, 좀비 PC 등을 활용해 흔적을 지웁니다. 특히 국가 배후의 해킹 조직이나 해외 거점 범죄 집단은 물리적인 검거가 거의 불가능합니다. 2025년 통계에 따르면 사이버 침해 범죄의 검거율은 고작 22% 내외에 머물고 있습니다. 5건 중 4건은 범인조차 모른 채 종결되는 셈입니다.
법적 관할권의 한계: 범인을 특정하더라도 국가 간 공조가 이루어지지 않으면 처벌할 수 없습니다. 적대적 국가에 있는 해커를 인도받는 것은 사실상 불가능하며, 이는 공격자들에게 '무법지대'라는 안전한 피난처를 제공합니다.
2. 왜 국가는 기업을 '가해자'로 몰아세우는가?
범인을 잡기 어려우니, 국가는 관리하기 쉬운 '기업'에게 모든 책임을 묻는 손쉬운 길을 택하고 있습니다.
결과 책임주의의 함정: 현행법은 해킹의 기술적 난이도나 불가항력적 측면보다 '개인정보 유출'이라는 결과 자체에 집중합니다. 매출액의 3%에 달하는 징벌적 과징금은 기업을 피해자가 아닌 '개인정보 관리 소홀이라는 범죄를 저지른 가해자'로 규정하는 것입니다.
행정 편의적 처벌: "강력한 처벌이 예방 효과를 낸다"는 논리는 기업들에게 과도한 보안 비용 투자를 강요합니다. 이는 국가가 수행해야 할 치안(사이버 보안)의 책임을 민간에 전가하고, 사고 발생 시 비난의 화살을 돌리는 방패로 쓰이고 있습니다.
3. 처벌 중심 정책이 낳은 '보안의 역설'
가혹한 처벌은 오히려 국가 전체의 보안 역량을 떨어뜨리는 부작용을 낳고 있습니다.
사고 은폐의 유혹: 해킹을 신고하는 순간 정부의 직권 조사와 과징금 폭탄이 기다리고 있다면, 기업들은 해커와 협상하여 '몸값'을 주고 사건을 덮으려 할 것입니다. 이는 범죄 조직에 자금을 줄 뿐만 아니라, 보안 취약점 정보를 공유하여 재발을 막을 기회를 스스로 발로 차버리는 결과를 초래합니다.
협력의 실종: 기업과 정부가 원팀이 되어 해커와 싸워야 하는데, 현재의 구조는 기업이 정부를 '조사관'이자 '잠재적 처벌자'로 느끼게 만들어 정보 공유를 위축시킵니다.
4. 결론: '피해자 배상'과 '공격자 추적'으로의 패러다임 전환
이제는 "기업이 법을 어겼는가"만 따질 것이 아니라, "공격자를 어떻게 끝까지 추적해 대가를 치르게 할 것인가"에 정책 역량을 집중해야 합니다.
국제 공조의 실효성 강화: 범죄인 인도 협약과 사이버 수사 공조 체계를 더 촘촘히 구축해야 합니다. 공격자에게 "지구 끝까지 쫓아온다"는 신호를 주는 것만이 진정한 억제력이 됩니다.
처벌에서 지원으로: 보안 수칙을 준수한 기업이 해킹당했을 경우, 처벌보다는 사고 복구와 범인 추적을 지원하는 '동반자적 관계'로 법 집행의 성격이 바뀌어야 합니다.
참고 문헌
• 심나영 외, 한국은 해킹되었습니다, (2025).
• 한국데이터법정책학회, 해킹 및 개인정보 유출 등 정보보호법의 이슈와 과제 세미나 리포트, (2025).
• UNODC, Cybercrime Module 5: Obstacles to Cybercrime Investigations, (2024).
• 조선일보, [경제포커스] 기업 처벌 강화가 해킹 대책인가, (2025.10.29).