[더밸류뉴스=강성기 기자]

구팡, 약 3370만개 고객 계정 정보 유출 / SK텔레콤, 약 2324만~2700만건 유심 암호키 등 25종 유출 / GS리테일, 약 150만건 고객 정보 유출 / 롯데카드, 약 297만명 고객 정보 유출 / KT, 5561명 가입자 정보 및 368명 소액결제 피해 / 알바몬, 이력서 정보 2만 2000여건 해킹 / CJ올리브영, 약 4900건 계정 정보 유출. 

잇따른 대규모 개인정보 유출로 한국 경제활동인구 대부분의 개인정보가 털렸다고 해도 과언이 아니다. [이미지=더밸류뉴스]

올 한해 동안 국내 기업들이 안전조치 의무 소홀 등으로 발생한 개인정보 유출 사례다. 잇따른 대규모 개인정보 유출로 한국 경제활동인구 대부분의 개인정보가 털렸다고 해도 과언이 아니다. 유출된 개인정보는 중국발(發) 불법 시장을 중심으로 암암리에 거래되고 있는 것으로 알려졌다. 거래되는 정보는 단순한 이름, 전화번호를 넘어 금융 거래 내역, 배송지 주소록, 계정 아이디와 암호 등 2차 범죄에 직접 악용될 수 있는 민감 정보가 다수 포함됐다. 실제로 쿠팡 정보 유출 이후 보이스피싱 사례가 곳곳에서 감지되면서 불안감이 증폭되고 있다. 

타오바오몰 등 중국의 주요 온라인 플랫폼에서는 한국 이커머스나 포털의 계정 정보가 수천 원에서 수만 원의 비교적 저렴한 가격에 버젓이 거래되고 있는 지경에 이르렀다. 대규모 유출 사고로 인해 정보의 희소성이 사라지면서, 여권 번호가 건당 1원 미만에 거래되는 충격적인 사례도 보고되고 있다.

대규모 유출 사고가 반복됨에도 불구하고 기업에 대한 처벌 수위가 상대적으로 관대하여 이른바 '솜방망이 처벌'이라는 비판이 꾸준히 제기되고 있다. 형사 처벌은 개인정보 보호법 제71조에 따라 개인정보를 영리 또는 부정한 목적으로 제3자에게 제공하거나 처리 동의 범위를 벗어나 이용한 경우, 5년 이하의 징역 또는 5000만원 이하의 벌금에 처할 수 있다. 또 법 위반으로 얻은 이익의 3배에 상당하는 금액을 과징금으로 부과할 수 있으며, 이익 산정이 곤란한 경우 전체 매출액의 3% 이하 또는 위반행위와 관련한 매출액의 3% 이하를 과징금으로 부과할 수 있다.

◆ 유출 사고 ‘사업 일부’처럼 인식..."보안 투자보다 벌금이 더 싸다"

2018년 도입된 징벌적 손해배상제도는 개인정보처리자의 고의 또는 중대한 과실로 피해가 발생한 경우 손해액의 3배까지 배상하게 할 수 있다. 그러나 집단소송의 미비와 고의성 입증의 어려움 등으로 인해 피해자들이 실질적인 배상을 받기 어렵다는 한계가 있다. 처벌의 무게가 가벼워지면서, 일부 기업은 유출 사고를 ‘사업의 일부’처럼 인식하고 보안에 대한 투자를 소홀히 하는 경향을 보이고 있다.

대규모 유출 사고에도 불구하고, 기업에 부과되는 과징금은 기껏해야 수억원에서 수십억원대에 불과한 실정이다. 최근 1348억원의 과징금이 부과된 SK텔레콤의 경우 과징금 처분의 취소나 감액을 구하는 행정소송을 제기할 가능성이 높은 것으로 알려지고 있다. 이 회사의 지난해 매출액과 영업이익 순이익은 17조 9406억 (전년대비1.9% ↑), 1조 8234억 (4.0% ↑), 1조 4388억 (25.6% ↑)이다. 

과징금 처분이 확정된 기업만을 놓고 볼 때, 부과된 과징금이 해당 기업의 연간 매출액이나 유출 규모에 비하면 미미한 수준이라서 기업 입장에서 "보안 투자보다 벌금이 더 싸다"는 인식이 형성될 정도라는 비판도 있다. 

반면, 유럽연합(EU)의 GDPR(개인정보보호법)이나 미국의 주요 주(州) 법규 등은 기업의 매출액에 비례하는 막대한 과징금을 부과하며 강력한 규제력을 보여주고 있다. 이는 곧 개인정보의 가치와 침해에 대한 사회적 인식, 그리고 법적 책임의 무게 차이를 극명하게 드러낸다. 

◆ EU, 기업 규모 클수록 처벌 규모 기하급수적으로 늘어나

대부분의 선진국은 개인정보 유출에 대해 기업의 책임을 극도로 무겁게 부과하는 규제 환경을 조성하고 있다. GDPR은 전 세계 개인정보 보호 법제의 흐름을 바꾼 강력한 규정으로 평가된다. GDPR을 위반할 경우, 기업은 연간 매출액의 최대 4% 또는 2000만유로(약 300억원) 중 더 높은 금액을 과징금으로 부과받을 수 있다. 이는 기업의 규모가 클수록 처벌의 규모도 기하급수적으로 커지는 구조다.

실제로 페이스북 운영사 메타는 페이스북 개인정보 유출 사건 등으로 아일랜드 데이터 보호 위원회(DPC)로부터 수천만 유로에서 12억 유로(약 1조 7000억원)에 달하는 사상 최대 규모의 벌금을 부과받았다. 세계 최대 전자상거래업체 아마존은 룩셈부르크 개인정보 감독기구로부터 7억 4600만유로(약 1조 200억원)의 과징금을 부과처분을 받았다. 또 구글은 프랑스의 개인정보 보호 감독기구인 정보자유국가위원회(CNIL)로부터 5000만유로(약 670억원), 영국항공은 영국 정보보호위원회(ICO)로부터 2000만파운드(약 300억원) 과징금 부과 사례가 이어지면서 기업들에게 경종을 울렸다. 

미국은 연방 차원의 통일된 법률은 없지만, 주별 법률과 강력한 집단소송 제도를 통해 기업에 막대한 책임을 물리고 있다. 특히 캘리포니아 소비자 개인정보 보호법(CCPA)은 GDPR과 유사하게 소비자의 권리를 강화하고 위반 시 벌금을 부과하고 있다. 미국에서는 개인정보 유출로 인한 피해자가 집단소송을 제기하는 경우가 일반적이며, 이로 인해 기업은 수천억원대의 합의금 및 배상금을 지급해야 하는 경우가 많았다.

◆ 美, 피해자 집단소송 인정...캐피털 원, 4000억원 이상 비용 지출

주요 사례를 보면 미국 금융회사 캐피털 원은 2019년 1억명 이상의 고객 금융정보 유출 사고에 대해 집단소송 합의금으로 1억 9000만달러(약 2800억원), 금융당국 벌금 8000만달러(약 1200억원) 등 총 4000억원 이상의 비용을 지출해야 했다. 미국의 대형 소매체인점 타겟은 2013년 대규모 신용카드 정보 유출 사고로 인해 합의금 외에도 보안 시스템 개선, 소송 비용, 매출 손실 등을 포함해 총 2억 달러(약 2700억원) 이상의 비용을 지출했다. 

최근 호주 역시 개인정보 유출 기업에 대한 처벌 수위를 대폭 강화했다. 2022년 말 개정된 개인정보 보호법에 따르면, 기업이 개인정보 보호 의무를 위반할 시 5000만 호주달러(약 430억원), 정보 유출로 얻은 이익의 3배, 또는 위반 기간 매출액의 30% 중 가장 큰 금액을 과징금으로 부과한다. 이는 법 개정 이전 상한선(약 20억원)에 비해 비약적으로 높아진 수준이다.

◆ 징벌적 손해배상제도 실효성 높이고 과징금 기준 강력 적용해야

한국과 외국의 처벌 비중 차이는 개인정보 보호에 대한 국가 및 사회의 근본적인 인식 차이를 보여준다. 한국은 벌금 납부 후 처리 가능한 '사업 비용'으로 보는데 반해 외국은 기업의 존폐를 위협하는 '재앙적 리스크'로 인식하고 있다.     

결론적으로 외국 특히 유럽의 GDPR은 '개인의 기본권 보장'이라는 가치를 최우선에 두고 기업의 규모와 무관하게 규제를 적용함으로써, 세계적으로 보안 투자 강화를 유도하는 실질적인 효과를 가져왔다. 반면 한국은 법률상으로는 엄격한 규정을 갖추고 있지만, 실질적인 처벌과 피해 구제 시스템(특히 집단소송)의 미비로 인해 기업이 개인정보 유출에 대한 중대한 경각심을 가지기 어렵다는 한계가 있다.

AI 시대에 개인정보의 가치가 더욱 커지는 만큼, 한국 역시 징벌적 손해배상 제도의 실효성을 높이고, 기업 매출액에 비례하는 과징금 기준을 더욱 강력하게 적용하는 등 실질적이고 강력한 규제와 처벌 비중 강화가 필요하다는 목소리가 높게 일고 있다.

skk815@thevaluenews.co.kr

[저작권 ⓒ 더밸류뉴스. 무단 전재 및 재배포 금지]