최근 국내외에서 대규모 개인정보 유출 사고가 잇따르면서 정부의 과징금 규제가 강화되고 있다. 하지만 학계와 법조계 등 전문가들 사이에서는 한국 정부의 과징금 체계가 사후 결과 중심의 ‘징벌 만능주의’에 매몰돼 있다는 지적이 나온다.
날로 지능화되는 인공지능(AI) 기반의 해킹 공격을 100% 막아내는 것은 기술적으로 불가능한 만큼, 불가항력적인 침해를 인정하고 미국 등 선진국처럼 ‘평소 보안 투자 규모’와 ‘사후 회복력’을 따져 제재를 차등화하는 패러다임 전환이 시급하다는 목소리가 힘을 얻고 있다.
(사진=AI 생성 이미지)
미국 대형 통신사 개인정보 유출 제재 현황
8일 보안 업계와 미국 외신 등에 따르면 미국의 개인정보 유출 제재는 연방 규제기관 과징금과 보안투자 의무가 톱니바퀴처럼 결합된 형태로 작동하고 있다.
미국 규제당국은 해킹 사고가 발생했을 때 기업이 최고 수준의 보안 표준을 준수하기 위해 평소 어떤 투자를 집행했는지 정밀하게 검증한다. 특히 불가항력적인 고도화 해킹은 참작하되, ‘반복 위반’이나 ‘내부 통제 실패’, ‘외주(제3자) 벤더 관리 부실’이 적발될 경우에만 치명적인 징벌을 내린다.
실제 T-모바일이 2024년 FCC와 맺은 합의를 보면, 반복적인 보안 사고의 책임을 물어 1575만 달러의 과징금과 함께 동액인 1575만 달러를 사내 보안 투자에 무조건 쓰도록 강제했다.
미국 시스템의 핵심은 명확하다. 평소 투자를 게을리 하거나 외주 관리를 방치해 사고를 키운 기업은 시장에서 퇴출당할 수준의 소송 비용을 치르게 하되, 제재금의 상당 부분을 다시 ‘보안 인프라 고도화’에 쓰도록 유도해 사회 전체의 보안 체질을 개선하는 방식이다.
최근 2년 주요 업체 과징금 현황(자료=개보위)
글로벌 스탠다드가 이처럼 정교하게 작동하는 반면, 한국 시장은 심각한 ‘보안 투자 역차별’에 직면해 있다. 국고로 전액 귀속되는 행정 과징금 중심의 처벌 규정 탓에, 평소에 수천억 원을 쓰며 방어벽을 쌓은 기업과 투자가 전무한 기업이 사고 발생 시 동일한 기준을 적용 받기 때문이다.
실제 국내 국가 기간통신망을 운영하는 통신사들은 엄격한 보안 의무에 따라 매년 막대한 예산을 투입하고 있다.
작년 해킹 사태로 역대 최대 규모인 1347억 원의 과징금 철퇴를 맞은 SK텔레콤(SKT)은 물론, KT 역시 국내 기업 중 삼성전자에 이어 두 번째로 많은 정보보호 투자를 집행하고 있다.
KT의 정보보호 투자액은 2024년 1218억 원에서 2025년 1250억 원으로 확대됐다. 최근에는 AI 기반 이상 탐지 시스템 구축, 제로트러스트 체계 도입 등 선제적 보안 강화 사업을 추진 중이다.
반면 국내 시장에서 매년 수천억 원에서 수조 원의 매출을 올리는 일부 글로벌 명품 브랜드와 플랫폼 기업 상당수는 유출 사고가 있어도 국내 정보보호 투자 규모나 전담 인력 현황을 철저히 베일에 부치고 있다. 이들은 사고 발생 시에도 국내 고객 보호 대책을 발표하는 경우도 드물다.
이처럼 투자 수준이 극과 극임에도 대형 사고가 터지면 규제 당국은 평소의 예방 노력을 면밀히 따지기보다 단순 ‘매출액 비율’로 과징금을 산정하는 경향이 강하다. 개인정보보호위원회가 선제 투자 기업에 최대 40%까지 과징금을 감경하는 방안을 내놓았지만, 현장에서는 가이드라인이 모호하고 정성적 평가에 치우쳐 실효성이 없다는 하소연이 나오는 이유다.
국내 주요 업체 해킹 현황.
전문가들은 현행 개인정보 보호법상의 과징금 제도가 법리적 근간인 ‘부당이득 환수’의 성격에서 벗어나 있으며, 장기적으로는 기업들의 보안 투자 의지를 꺾는 ‘규제의 역설’을 낳을 수 있다고 경고한다.
이성엽 고려대 기술경영전문대학원 교수(기술법정책센터장)는 “과징금의 본질은 위법 행위로 얻은 부당이득을 환수하는 것인데 해킹으로 인한 유출은 기업이 이득을 본 것이 없다”며 “민간의 손해는 미국처럼 소비자들이 소송을 통해 법원에서 배상받도록 하는 것이 원칙인데, 국가가 행정 과징금을 과도하게 걷는 방식은 공법과 사법 체계상 맞지 않는다”고 지적했다.
이 교수는 이어 “이제는 시스템 설계 단계부터 개인정보를 보호하는 ‘프라이버시 바이 디자인(PbD)’을 도입하고, 사고가 나더라도 신속하게 피해를 복구할 수 있는 ‘사후 조치 및 회복력(Resilience)’을 갖췄는지를 보고 책임을 평가하는 글로벌 스탠다드로 나아가야 한다”고 조언했다.
채찍은 선명한데 정작 당근(감경 조항)은 깜깜이 수준이라는 비판도 이어진다.
김도승 전북대 교수(개인정보보호법학회장)는 “시행령 개정안의 가중 사유는 명확한 반면, 감경 사유는 ‘예산·인력·설비 등에 대한 투자’라는 추상적 표현에 머물러 있어 반대급부가 완전히 불투명하다”며 “기업이 가장 싫어하는 것은 예측 불가능성인데, 현행 안은 과징금 부과권자의 재량만 확대할 뿐 실질적인 투자 유인책이 아닌 사후적 선처 사유로 기능할 가능성이 크다”고 진단했다.
김 교수는 “개인정보 보호 정책의 궁극적 목표는 과징금 액수를 늘리는 것이 아니라 기업의 보안 체질을 바꾸는 데 있다”며 “입법 목적을 달성하려면 투자 규모나 매출액 대비 투자 비율, 전문 인력 확보, 보안 거버넌스 구축 등 구체적이고 정량적인 평가 기준을 시행령이나 과징금 부과 기준 고시에서 명확히 규정해야 한다”고 강조했다.
당장 올해 9월 11일부터는 반복적이거나 중대한 개인정보 유출사고를 낸 기업에 대해 매출액의 최대 10%까지 과징금을 부과하는 ‘징벌적 과징금’ 제도가 시행된다. 처벌의 강도가 글로벌 표준(GDPR 4%)의 두 배를 웃도는 만큼, 기업들이 자발적으로 지갑을 열 수 있도록 돕는 정교한 ‘투자 인센티브 가이드라인’이 함께 마련되어야 한다는 지적이다.
