개인정보보호 가로막는 '과징금 공포' [김현아의 IT세상읽기]

해킹 피해 기업에 빅테크보다 무거운 처벌
숫자 경쟁 아닌 실효적 보호로 전환해야

[이데일리 김현아 기자] 1347억 9100만원. 지난 28일 개인정보보호위원회가 해킹으로 고객 정보를 유출당한 SK텔레콤에 부과한 과징금 액수입니다. 개인정보위 출범 이후 최대 규모의 제재였죠.

그러나 현장에서 더 눈길을 끈 건 액수가 아니었습니다. 불과 몇 달 전만 해도 “엄벌이 필요하다”는 강경한 메시지를 던지던 고학수 위원장이 이번에는 “복제폰 가능성은 낮다”는 말과 함께 차분히 사건을 설명했기 때문입니다.

산식이 만든 역설

이번 사건은 알뜰폰 가입자를 포함해 2324만 4649명의 전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종의 정보가 유출된 중대한 해킹 사고였습니다. 그러나 아직까지 2차 피해는 확인되지 않았죠.

그럼에도 SK텔레콤이 받은 과징금은 구글(692억), 메타(308억)의 두 배 이상입니다. 개인정보를 상업적으로 활용해 이익을 챙긴 글로벌 빅테크보다 오히려 해킹 피해를 입은 기업이 더 무거운 제재를 받은 셈이죠.

논란의 핵심은 개인정보보호법의 과징금 산정 구조입니다. 신용정보법은 개인신용정보가 도난·분실되더라도 과징금 상한을 50억원으로 정했습니다. 은행이나 증권사는 그 이상을 내지 않지요.

반면 개인정보보호법은 ‘전체 매출액’을 기준으로 합니다. SK텔레콤의 무선 매출이 약 10조원에 달하다 보니, 감경을 적용해도 천억 원대 과징금을 피할 수 없는 구조입니다. 같은 개인정보 유출이라도 적용 법에 따라 기업의 운명이 극적으로 갈리는 셈입니다.

[이데일리 김일환 기자]

형식 논리에 갇힌 집행

이번 사건은 단순히 SK텔레콤의 문제가 아닙니다. 개인정보보호법 체계가 사회 전반에 어떤 신호를 던지고 있는지를 되묻게 합니다.

지난해 개인정보보호법 개정으로 과징금 기준은 ‘관련 매출액의 최대 3%’에서 ‘전체 매출액의 최대 3%’로 바뀌었지요. 기업 책임성을 강화하겠다는 명분이었지만, 실제로는 ‘프라이버시 보호’라는 법익보다 개인정보 자체를 과잉 보호 대상으로 삼는 결과를 낳았습니다.

김도승 전북대 교수는 “IMSI는 개인정보로 평가할 수 있어 제재는 불가피하지만, 피해 복구가 진행 중인데 수천억원을 확정하는 건 숙의가 부족했다”고 지적했습니다. 이성엽 고려대 교수 역시 “고의적 상업 활용 사례보다 더 큰 액수는 형평성에 맞지 않는다”고 했습니다.

과징금은 단순한 숫자가 아닙니다. 형식 논리에 갇힌 제도는 기업에 실질적 보안 강화를 요구하기보다는 신고를 주저하게 만드는 역설을 낳습니다.

개인정보보호법이 던져야 할 메시지는 “얼마를 때렸는가”가 아니라 “얼마나 지켜냈는가”여야 하지 않을까요?

자진 신고마저 위축시키는 구조

더 큰 문제는 해킹 피해 기업들의 자진 신고를 위축시킬 수 있다는 점입니다. SK텔레콤은 즉각 신고했고 서버 분리 등 조치도 취했지만, 결과는 달라지지 않았습니다. 반면 유럽 일반정보보호법(GDPR)은 자진 신고 시 80~90% 감경을 허용합니다.

이대로라면 기업들이 “신고하면 손해만 본다”며 은폐를 선택할 가능성이 큽니다. 실제로 과기정통부·한국인터넷진흥원(KISIA)의 ‘2024 정보보호 실태조사’에 따르면, 침해 사고를 겪은 기업 중 관계 기관에 신고한 비율은 19.6%에 불과했습니다. 여전히 낮은 수치죠.

남은 숙제는 법 개정

데이터 시대, 기업의 고객 정보 보호 책임을 강화하려는 취지 자체는 정당합니다. 그러나 절차적 숙의와 형평성이 담보되지 않는다면 사회적 신뢰는 흔들립니다.

인공지능과 데이터 활용이 국가 경쟁력의 핵심이 된 지금, ‘과징금 공포’만 남기는 제도는 기업들을 뒤로 숨게 만들고 정보보호 투자를 위축시킬 수 있습니다.

이제 필요한 것은 명확합니다. 기업 해킹시 개인정보보호법의 감경 기준과 산정 체계를 합리적으로 고쳐 해킹 피해 기업이 은폐가 아닌 보안 역량 강화로 나아갈 수 있는 환경을 만드는 일입니다. 중요한 것은 과징금 액수가 아니라 개인정보를 실질적으로 지켜내는 제도의 힘이라고 생각합니다.

김현아 (chaos@edaily.co.kr)