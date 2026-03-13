최근 대형마트 새벽배송 규제 완화가 추진되고 있다. 유통산업발전법은 대표적인 사전 규제다. 그러나 13년간 이어진 규제는 전통시장 보호라는 명분과 달리 소비자를 온라인으로 이동시키며 유통 경쟁력만 약화시켰다.

이 문제의식은 사이버 침해사고에도 적용된다. 유통산업발전법이 사고 이전을 겨냥한 사전 규제라면, 해킹 제재는 사고 이후 책임을 묻는 사후 규제 성격이 강하다. 과징금 등 처벌 방식도 시대 변화에 맞게 달라져야 한다.

최근 해킹 사고를 두고서도 일단 강하게 처벌해야 한다는 목소리가 앞선다. 그러나 해킹은 유통 규제와 달리 사고 발생만으로 일률 제재하는 접근이 능사는 아니다.

과기부는 보안에 소홀한 기업에 매출액의 최대 3% 과징금을 부과하는 방안을 내놓았고, 최근에는 고의나 과실 없이 유출 자체만으로 배상 책임을 지우는 논의도 이어지고 있다.

하지만 규제가 강화됐다고 해서 침해사고가 줄은 것은 아니다. 해킹이 고도화되면서 기업은 물론 정부도 상시적 침해 위험에 노출돼 있다. 모든 공격을 완벽히 막기 어려운 현실을 직시해야 한다. 개보위에 따르면 개인정보 유출 신고 건수는 2021년 163건에서 2024년 307건으로 늘었고, 유출 원인의 56%는 해킹이었다. 사전 예방은 중요하지만, 사후 관리 운영이 더 중요해진 이유다. 따라서 정부는 먼저 사전 예방 매뉴얼을 촘촘히 해야 한다. 기본 보안체계와 점검 절차, 위기 대응 기준까지 산업별로 더 분명하게 제시하고 반복 점검하도록 할 필요가 있다.

동시에 사고 이후에는 무엇을 평가할지도 명확해야 한다. 즉각 보고했는지, 은폐나 축소가 있었는지, 고객 피해가 어느 정도인지, 재발방지 프로그램을 얼마나 보완했는지를 함께 따져야 한다.

이제 더 중요한 것은 사고 유무보다 사고 뒤 어떻게 대응했는가다. 그래야 기업도 은폐보다 공개와 수습, 고객 보호와 보안 투자에 자원을 투입하게 된다. 정부 정책도 이런 방향으로 설계돼야 한다.

영국 정보보호위원회(ICO)는 기업이 조사에 성실히 협조하고 사후 보완에 노력한 경우 이를 반영해 과징금을 감경한 바 있다. 제재의 목적이 단순한 일벌백계가 아니라 고객 보호와 체질 개선에 있음을 보여주는 사례다.

물론 1차적 보안 실패의 책임은 피할 수 없다. 다만, 그 처분의 수위는 사후 대응 전반을 함께 본 합리적 수준이어야 한다.

최근 발생한 여러 해킹 중 롯데카드 사례는 이 점에서 시사적이다. 사고 이후 즉각 보고와 조사 협조, 고객 응대와 피해 예방, 조직 쇄신과 보안 강화 노력은 사후 대응의 참고 사례로 볼 여지가 있다. 타 통신사나 유통 플랫폼과 대비가 되는 지점이다.

고객 응대가 어떻게 불안을 줄였는지, 왜 직접 피해로 이어지지 않았는지를 면밀히 분석할 필요가 있다. 롯데카드의 사후 관리 프로그램은 향후 대응 매뉴얼화의 근거가 될 수 있고, 동시에 예방 매뉴얼 고도화에 활용할 수 있다. 영업정지 같은 강한 제재는 소비자 불편을 다시 키울 수 있는 만큼 신중해야 한다. 책임지고 물러난 경영진의 태도와 현장 직원의 수습 노력까지 함께 보면서, 예방은 더 강화하고 사후에는 보고, 고객 대응, 고객 편의 확보, 보안 강화를 종합 평가하는 규제로 가야 한다.

조춘한 경기과학기술대 교수 및 연구소장(한국유통학회 부회장)