[외전인터뷰] 송경희 위원장 "쿠팡의 대응 매우 미흡"‥강력한 과징금 부과는?

[뉴스외전]

* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기 바랍니다.

■ 방송 : MBC 뉴스외전 (월~금 오후 01:50) ■ 진행 : 이언주 기자 ■ 대담 : 송경희 개인정보보호위원회 위원장

◎ 진행자 > 개인정보 유출 사고가 잇따르면서 국민 불안이 커지고 있습니다. 사회 경제적 비용도 만만치 않습니다. 오늘은 송경희 개인정보보호위원회 위원장과 함께 하나하나 짚어보겠습니다. 어서 오세요. 위원장님.

◎ 송경희 > 안녕하세요.

◎ 진행자 > 이제는 ‘개인정보보호위원회’ 모르시는 분이 없으실 것 같아요. 이게 좋은 건지 나쁜 건지 모르겠는데 그런 상황이 됐습니다. 이런 상황에서 오늘 아침에 보니까 신한카드의 개인정보 유출 건이 또 터졌어요. 지금 언론 보도에 따르면 내부 직원들 소행이다 이렇게 나오고 있고 공익제보자가 개보위에 신고한 뒤에야 신한카드가 알았다 이렇게 나오고 있거든요. 그럼 내부통제 시스템이 작동 안 한다. 어떻게 보십니까?

◎ 송경희 > 내부통제 시스템에 저도 문제가 있다고 보여집니다. 최근에 이런 사례들을 보면 내부통제 시스템이 제대로 이루어지지 않는 사례들을 저도 많이 보고 있어서 이런 부분을 좀 더 강화할 필요가 있다라고 생각합니다. 그래서 최근에 CEO가 전체적인 책임을 명확하게 지게 법률에 반영하는 걸 진행하고 있고요. 그 밑에 개인정보보호책임자라고 하는 CPO의 책임도 좀 더 강화를 합니다. 그리고 CPO를 지정해서 반드시 신고하도록 하고 그렇게 해서 내부통제 시스템이 우선적으로 제대로 가동되어야 된다고 생각하고 있습니다.

◎ 진행자 > 내부의 책임 있는 사람들에게 책임을 더 지우는 방식으로 가야지 그래야 좀 더 이렇게 면밀하게 볼 거다 이렇게 보시는 거네요.

◎ 송경희 > 그렇죠. 분명한 책임과 권한, 그리고 거기에 맞춰서 실질적으로 그렇게 가동이 돼야 된다는 거죠.

◎ 진행자 > 근데 지금 dlfjgrp 나오는 거 보면 뒤늦게 신고하는 경우도 많고요. 축소해서 신고하는 경우도 많은데 이거 못 막는 겁니까?

◎ 송경희 > 실제로 뒤늦게 신고를 하거나 축소해서 하게 될 경우에는 분명히 저희가 처분을 내릴 때 과징금에 대해서 가중을 하는 그런 조치들을 합니다. 그리고 또 늦게 하게 될 경우에는 과태료 처분도 있습니다. 그래서 실제로 제재를 그런 건 가하고 있고요. 최근에 신고에 대한 의식은 상당히 높아졌습니다. 공익신고가 들어왔다는 사례에서도 보실 수 있듯이 개인정보가 유출이 되면 반드시 신고를 해야 된다. 개인정보가 침해되는 사고를 내가 개인적으로 입어도 신고를 해야 된다라는 의식은 많이 높아지고 있는 것 같습니다.

◎ 진행자 > 그러면 제도가 없는 건 아니네요. 그런 제도가 있는데도 늦게 하거나 축소 신고하는 경우가 있다.

◎ 송경희 > 없진 않습니다.

◎ 진행자 > 제도는 있는데도 이렇게 허점을 파고든다, 이렇게 봐야겠네요.

◎ 송경희 > 최근에는 72시간 내에 신고를 하게 되어 있는 이 규정에 맞춰서 신고를 제대로 하는 경우가 훨씬 많이 늘어나고는 있습니다.

◎ 진행자 > 쿠팡 같은 경우 얘기가 나와서 그런데 터진 건 굉장히 일찍 터졌잖아요. 그런데도 국민들이 알게 된 건 굉장히 늦게 알게 돼서 그런 부분을 말씀을 드렸습니다. 쿠팡 얘기가 나오니까 이렇게 되면 정부의 보안 인증 얘기를 안 할 수가 없습니다. 이런 거 다 정부의 보안 인증 받은 곳이잖아요. 그런데 이렇게 허술했나, 정부 보안 인증 유명무실한가, 이런 지적이 나오는데 어떻습니까?

◎ 송경희 > 정보보호와 개인정보보호 관리체계에 대한 인증입니다. 우리가 ISMS-P라고 부르는 인증인데요. 국제 기준을 훨씬 더 강화해서 우리나라에서 만들었습니다. 그렇지만 문제는 그때 인증을 받을 때 요건을 충족했냐를 보고 저희가 인증을 주잖아요. 근데 요건을 충족했느냐를 그동안에 서면 심사 위주로 했기 때문에 이제는 현장 심사를 강화하려고 합니다. 실제로 현장에서 보고 그대로 요건을 충족했는지 보려고 하고요. 문제는 요건을 충족하고 나서 실제로 그대로 운영을 해야 되잖아요. 근데 그렇게 운영을 안 하면 또 소용이 없거든요. 관리체계는 다 갖춰놨는데 실질적으로 예를 들어서 내부 접근 권한을 다 관리하겠다라고 했는데 권한 관리가 안 되고 있다, 현장에서. 이런 일이 일어날 수 있어서 사후 심사도 저희가 강화하려고 하고요. 모의해킹 심사들을 또 하려고 합니다. 하지만 사실 인증을 저희가 한 번 주면 3년간 유효한데 매일 나가서 볼 수는 없는 일이지 않습니까. 그리고 인증이라는 게 이 정도의 수준을 갖추면 상당한 방어력을 우리가 보장을 할 수는 있지만 100% 무사고를 보증할 수 있는 건 아니기 때문에 결국 해당되는 기업 기관에서 그것에 대한 경계의식을 갖고 사실상 제대로 인증 받은 요건을 그대로 운영하고 그거 외에도 얼마든지 또 공격의 변수들이 들어올 수 있기 때문에 그것에 항상 방어하려는 노력이 필요합니다.

◎ 진행자 > 심사 나가면 기업들이 이때만 모면하면 된다라는 생각으로 그때는 잘하는데 이후에 정말 지켜질 거냐, 그런 부분에 대해서 현장 심사도 나가고 이후에 잘 진행되는지도 지켜보겠다, 이런 말씀이시네요.

◎ 송경희 > 네, 정부가 최대한 더 노력을 해서 행정력을 사실 많이 쓰게 되는 거죠. 가서 제대로 하고 있는지도 봐야 되고 모의해킹도 해야 되고 그런데 그걸 365일 계속 저희가 할 순 없는 일이기 때문에 결국 현장에서 잘해야 되고요. 저희가 잘 못하는 경우 그동안 취소는 없었습니다. 근데 이제 취소를 하려고 합니다. 만약에 문제를 일으켰다, 인증을 받았는데 그러면 입법적인 요소들이 있다고 그러면 그 부분을 심사해서 취소를 하는 것도 같이 하려고 합니다.

◎ 진행자 > 지금까지는 취소가 없었는데 앞으로는 취소도 한다, 강하게 나가겠다, 이런 말씀이신 것 같습니다. 쿠팡 사태 관련해서 범정부TF회의 어제 1차 회의 있었습니까?

◎ 송경희 > 네.

◎ 진행자 > 개보위도 참여하셨던 거죠?

◎ 송경희 > 네. 어제는 과기정통부 2차관 주재로 해서 모든 대부분의 부처가 사실 다 모였는데요. 국장급들이 모여서 실무회의를 했습니다. 그런데 이제는 개인정보의 유출 문제뿐만 아니라 사실 쿠팡의 여러 가지 이슈가 되고 있는 문제들이 있지 않습니까? 과로사 문제부터 해서 공정거래 문제, 종합적으로 다 보겠다라는 차원에서 그런 범부처TF가 출범을 했고 어제 첫 회의를 했습니다.

◎ 진행자 > 그러니까 개인정보 유출뿐 아니라 쿠팡에서 벌어지고 있는 굉장히 많은 문제들을 종합적으로 보자라는 측면에서 거의 전 부처가 참여를 했다 이렇게 보면 되는 거네요.

◎ 송경희 > 그렇습니다.

◎ 진행자 > 지금 쿠팡 얘기를 저희가 하는데 말씀하신 대로 개인정보 유출 이 문제뿐 아니라 대응에 대해서 국민들이 굉장히 분노하고 계시거든요. 어떻게 보고 계세요? 위원장님은.

◎ 송경희 > 저도 사실 개인적으로는 무척 화가 납니다. 저는 조사를 다 진행을 하고 그 조사 결과에 합당한 처분을 내려야 되는 기관의 장으로서는 무겁게 말씀드릴 수밖에 없는데 매우 미흡한 점이 많다고 봅니다. 물론 이 조사에 대해서는 경찰도 하고 있고 민간합동조사단 또 개보위 하는 것에는  일정 부분 대응을 같이 하고 있기는 합니다만 기본적으로 이용자들이 느끼는 여러 가지 정신적인 피해부터 해서 불안감, 이용자의 피해를 회복해 주려는 진정한 자세, 노력, 이런 게 저도 되게 미흡하다고 보여지거든요. 그래서 쿠팡이 보다 적극적으로 이용자의 목소리에 화답하는 노력을 보여줬으면 좋겠다 이런 생각을 하고 있습니다.

◎ 진행자 > 화답하는 모습 자체가 아니라 정말 아무런 조치를 취하지 않고 있어서 이용하시는 분들이 탈퇴도 쉽지 않다 그런 얘기도 나왔지만 그래서 국민적인 공분이 더 커지는 건 아닌가 이런 생각이 듭니다. 지금 보니까 쿠팡이 돈은 우리나라에서 다 벌잖아요. 그런데 미국 증시에 상장이 돼 있고 또 김범석 의장은 ‘나는 글로벌 CEO다’ 이러면서 국회 청문회에도 안 나오고 이런 상황인데 정말 글로벌 기업이라서 우리가 책임 추궁을 못하는 겁니까, 어때요?

◎ 송경희 > 절대 그렇지 않습니다. 개인정보보호법을 가지고 말씀을 드리면 국내냐 해외냐에 따라서 전혀 차이 없습니다. 중요한 건 우리 국내에 이용자를 대상으로 서비스를 제공하느냐 그리고 어떤 위반 행위를 했느냐를 저희는 중심으로 보고요. 그건 해외 기업이든 국내 기업이든 똑같습니다. 개인정보위원회가 구글 메타에 대해서도 한 1천억 원에 가까운 과징금을 부과한 사례도 있고요. 그건 상관없이 저희들은 엄격하게 위반 행위가 무엇이냐, 그리고 국내 서비스를 제공하는 이용자의 정보를 어느 규모를 얼마나 위험하게 노출했느냐 유출했느냐 이 부분을 보는 겁니다.

◎ 진행자 > 글로벌 기업이라고 해서 면피되는 건 아니다 이런 말씀이시네요.

◎ 송경희 > 전혀 아닙니다.

◎ 진행자 > 국회에서는 다음 주에 쿠팡 청문회를 한다고 해요. 지난번에는 과방위 중심이었는데 이번에는 관련 상임위가 다 총출동해서 청문회를 한다는 건데 정부에서는 어떤 대응책을 갖고 계십니까?

◎ 송경희 > 저희 개인정보보호위원회 입장에서는 지금 조사 중인 사항들, 물론 확정되지 않는 부분을 모두 다 공개적으로 말씀드리기는 사실 어렵습니다. 저희 기관의 성격상. 그렇지만 같이 설명드릴 수 있는 부분은 명확하게 설명드리고 이틀간 청문회를 하면서 새로운 사실이 또 나올 수 있지 않습니까? 새로운 사실들이 나온 것에 대해서는 저희가 조사의 범위를 더 확대할 수 있습니다. 그래서 그것들을 면밀히 살펴보고 지금 해킹의 원인뿐만 아니라 다른 사안들을 우리가 더 들여다보고 조사해야 될 이런 것들은 좀 더 파악하려고 하고요. 쿠팡의 대응이 미흡한 부분을 저희들이 느끼면서 그동안의 위원회 의결로 노출을 유출로 바꿔라. 그리고 탈퇴 절차 너무 복잡하다. 간소하게 하라. 그리고 약관에 일부 자기들의 불법 접근 해킹 등에 대한 책임을 면제하는 면책조항 같은 게 들어 있었어요. 그래서 그런 조항을 또 없애게 하는 그런 것들은 위원회 의결로 해서 우선은 처리를 했습니다.

◎ 진행자 > 이재명 대통령이 징벌적 과징금 언급을 했잖아요. ‘회사가 망한다는 생각이 들게 해야 된다’ 이런 얘기를 했는데 혹시 여기에 대해서 뭐 찬반이 있습니까. 정부에서는 어떻게 보고 계세요?

◎ 송경희 > 모든 그런 기업을 대상으로 굉장히 강력한 징벌적 과징금을 우리가 부과하겠다는 건 아닙니다. 사실 요즘에 데이터 경제가 활발하게 되고 플랫폼 경제가 만들어지면서 데이터가 집적이 되고 있거든요. 그 말은 이용자의 개인정보가 한 군데에서 집적돼 있어서 한 번 유출되면 대규모 그리고 유출된 건 사실은 어디로 그 정보가 흘러가는지를 다 파악하고 이게 회복하기가 쉽지 않거든요. 그렇게 되면 결국 이용자 정보를 대규모로 다루는 그런 사업자, 그리고 중복적으로 사고를 고의로 내거나 큰 과실로 내는 사업자들은 그만큼 매출액의 10%에 해당하는 과징금을 부과하겠다는 걸로 해서 강한 억지력을 갖게 하려고 하는 겁니다. 근데 그렇게 제재만 가하는 게 아니라 사전적으로 미리 예방적으로 투자를 하는 기업들, 그리고 법에서 요구되는 것보다 더 많이 투자를 해서 전반적으로 사고가 일어날 개연성을 굉장히 낮추는 그런 기업들에 대해서는 또 확실한 인센티브를 부여하는 것도 같이 진행합니다.

◎ 진행자 > 모든 기업에 대해서 일괄적으로 하는 게 아니다. 중복적으로 사고를 내는 곳에 징벌적 과징금을 주고 잘하는 곳에는 인센티브를 주는 방식으로 유도를 하겠다 이런 말씀이신 거네요.

◎ 송경희 > 맞습니다.

◎ 진행자 > 그런데 피해자 소비자들 입장에서는 쿠팡이 보상책도 안 내놓고 이러다 보니까 답답하니까 스스로 집단소송에 나선 거잖아요. 근데 미국하고 비교를 해보면 피해 구제가 너무 안 된다 이런 얘기를 많이 하는데 제도 개선책 같은 것도 논의가 되고 있습니까?

◎ 송경희 > 맞습니다. 과징금은 사실 행정벌이다 보니까 결국 국고로 들어가는 구조에서 소비자가 내가 피해를 봤는데 나한테 오는 것은 무엇이냐라는 회복감은 상당히 낮을 수가 있어서 지금은 개인정보법상 단체소송이 있는데 여기에 금전적인 손해배상으로 들어갈 수 있는 건 없습니다. 내용이. 그래서 우선 단체소송에 금전적인 손해배상이 가능하도록 하는 그런 입법을 진행하려고 합니다. 그렇게 되면 사전에 집단분쟁 조정을 거쳐서 분쟁조정에서 물론 안 받아들이면 소용이 없지만 분쟁조정을 거쳐서 어느 정도의 보상 기준이 나오게 되고 그게 단체소송으로 이어질 수 있는 구조로 만들어서 단체소송은 결국 사법 영역이지만 거기에 가서 실질적인 배상이 이루어질 수 있도록 그렇게 입법을 추진하려고 진행하고 있습니다.

◎ 진행자 > 위원장님이 앞서서 말씀을 하실 때 중복적으로 사고를 내는 기업은 엄하게 처벌을 해야 되지만 잘하는 데는 인센티브를 준다라는 말씀을 하셨는데 어제 보니까 사고예방전담부서를 신설했다 이렇게 보도가 나오던데요. 어떤 의미로 이런 부서를 만드신 겁니까?

◎ 송경희 > 어제 국무회의에서 확정이 됐는데요.

◎ 진행자 > 확정됐죠.

◎ 송경희 > 네. 우리 개인정보보호 침해 사고 건수가 한 3년 사이에 20배가 늘었어요.

◎ 진행자 > 20배나 늘었어요?

◎ 송경희 > 네, 그렇게 많이 늘고 있는데 조사관 수가 한 4년간 한 명도 안 늘어난 상태였습니다. 어제 다행히 국무회의에서 확정된 숫자가 17명을 늘리게 됐는데 그중에서 조사관은 한 7명, 그리고 사전 예방을 전담하는 부서를 만들어서 거기에 나머지 인원들이 배치가 되게 됩니다. 여기에서는 우리가 사고에 대한 신고를 받아서 사후 제재 순으로 나가는 게 아니라 미리 뭔가 위험이 많이 느껴질 수 있을 수 있거나 아니면 대규모의 이용자 정보를 처리하는 데서의 문제가 혹시 있는가를 사전에 살펴봄으로써 가서 실태 점검도 하고 컨설팅도 하고 미리 그런 예방 체제를 갖추도록 하는 일들을 하게 될 겁니다.

◎ 진행자 > 말씀하신 대로 사실 피해가 딱 터지고 나서 그 뒤에 수습을 하려면 오히려 비용이 더 많이 들잖아요. 그런 걸 사전에 막자 이런 취지이신 것 같습니다.

◎ 송경희 > 맞습니다. 그리고 기업들도 사실 그런 사고가 한 번 일어나게 되면 과징금 같은 행정벌, 그리고 앞으로 손해배상이라든가 이런 것에 대한 전반적인 무거운 재정적 부담도 훨씬 커질 텐데, 그리고 더 중요한 건 데이터 기반 경제에서 한 번 자기가 신뢰를 잃어버리면 그 기업에 타격이 너무 큰 거죠. 그러니까 제때 예방적으로 투자하는 게 훨씬 더 싸다라는 인식을 갖게 하는 게 매우 중요합니다.

◎ 진행자 > 소비자들 입장에서도 사전에 예방을 했으면 좋겠다 이런 생각을 많이 할 것 같습니다. 잘 됐으면 좋겠습니다. 오늘 위원장님 말씀 여기까지 듣겠습니다. 감사합니다.

◎ 송경희 > 감사합니다.

기사 본문의 인터뷰 내용을 인용할 경우, [MBC 뉴스외전]과의 인터뷰라고 밝혀주시기 바랍니다.

MBC 뉴스는 24시간 여러분의 제보를 기다립니다.

▷ 전화 02-784-4000
▷ 이메일 mbcjebo@mbc.co.kr
▷ 카카오톡 @mbc제보

기사 원문 - https://imnews.imbc.com/replay/2025/nw1400/article/6788406_36776.html