2026년부터 기업의 해킹 사고는 더 이상 기술적 실패로 취급되지 않을 전망이다. 경영 판단의 결과로 평가받는다. 정부가 해킹 사고에 대한 징벌적 과징금을 대폭 강화하면서다.

지난해 산업계 전반에 해킹과 개인정보 유출 사고가 잇따르자 정부는 기존 대응이 실패했다고 판단했다. 사고가 반복돼도 기업이 감내할 수 있는 수준의 처벌에 그쳤다는 인식이 확산되면서다. 이에 정부는 올해를 기점으로 처벌의 무게 중심을 ‘사후 복구’에서 ‘사전 억제’로 옮긴다.

개인정보보호위원회는 반복적인 개인정보 유출 행위에 매출액의 최대 10%까지 과징금을 부과하는 방안을 추진하고 있다. 과학기술정보통신부도 반복적인 침해사고 기업에 대해 매출액의 최대 3%까지 징벌적 과징금을 물리는 제도 도입을 준비 중이다. 처벌 수위 자체를 기업 존립이 위협받는 수준까지 끌어올리겠다는 구상이다.

정부가 강수를 둔 배경에는 2025년의 집단 해킹 사태가 있다. 쿠팡과 SK텔레콤, KT, LG유플러스, 롯데카드, 넷마블, 두나무, CJ올리브영, 위메이드, GS리테일, 예스24, SK쉴더스 등 업종을 가리지 않고 사고가 이어졌다. 그럼에도 역대 최대 과징금은 SK텔레콤에 부과된 1348억원에 그쳤다. 조 단위 과징금과 손해배상이 일상화된 미국과 비교하면 억지력이 약하다는 비판이 나왔다.

정치권도 이 흐름에 힘을 실었다. 이재명 대통령은 “국민에게 피해를 주면 회사가 망할 수 있다는 생각이 들게 해야 한다”고 공개적으로 주문했다. 대통령 발언 이후 부처 간 규제 강화 논의가 급물살을 탔다. 2026년은 정부의 의지가 실제 집행으로 이어지는 첫 해가 될 가능성이 크다.

징벌적 과징금과 함께 책임 구조도 바뀐다. 과기정통부는 최고경영자의 보안 책임을 법령에 명시하고 보안최고책임자의 권한을 강화하는 방안을 추진한다. 해킹 발생 시 이용자 통지를 의무화하는 제도도 도입된다. 보안 사고를 은폐하거나 지연 보고하는 관행은 사실상 불가능해진다.

이 변화는 기업 경영에 직접적인 부담으로 작용한다. 보안은 선택적 투자 항목이 아니라 규제 대응 비용이 된다. 특히 2025년 연쇄 해킹을 겪은 통신사들은 선제적으로 대응에 나섰다.

KT는 향후 5년간 정보보호 분야에 1조원 이상을 투자하겠다고 밝혔다. SK텔레콤과 LG유플러스도 각각 5년간 7000억원 규모의 정보보호 투자 계획을 내놨다. 통신사들은 제로 트러스트, AI 기반 보안 관제, 망 세분화 등 고강도 기술 도입을 서두르고 있다.

다만 이 같은 투자 확대가 모든 기업에 동일하게 적용되기는 어렵다는 지적도 나온다. 대기업과 중소기업 간 보안 투자 여력 격차가 크다. 매출 연동 과징금이 현실화될 경우 중견·중소 ICT 기업의 부담은 더 커질 수 있다. 규제의 실효성과 형평성을 둘러싼 논쟁은 2026년에도 이어질 전망이다.

업계 관계자는 “이전과 달리 정치권에서 적극적으로 징벌적 과징금을 주문하면서 정부도 이에 따르는 상황이 전개됐다”고 평가했다.

김광연 기자
fun3503@chosunbiz.com

• 피지컬 AI 시대, 韓·中 휴머노이드 맞붙는다 [CES 2026]
• 무방비 노출된 MCP 서버, 대형 사고 부른다 [AI 에이전트와 보안①]
• ‘비상 경영’ 롯데, 바이오 힘 싣는 신유열 [2026 핫피플]
• 쿠팡 청문회 후폭풍… 정부 “책임 회피 좌시하지 않겠다”
• 쿠팡 개인정보 유출에 정부·국회 총력전… 1월도 ‘쿠팡 정국’