고객정보 유출, 과한 징벌이 능사? 되레 신고 위축 부른다

배현정 2026. 4. 4. 00:50
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

개인정보 유출, 기업 책임과 제재 사이

[AI 생성이미지]

[AI 생성이미지]
대규모 개인정보 유출 사고가 잇따르면서 보안 책임과 제재 체계를 둘러싼 논쟁이 다시 불붙고 있다.

강한 처벌을 요구하는 사회적 공감대 속에 정부도 규제 수위를 높이고 있다. 오는 9월부터는 중대한 유출 사고에 대해 기업 전체 매출의 최대 10%까지 과징금을 부과할 수 있도록 법이 강화되고, 고의·과실과 무관하게 책임을 묻는 ‘무과실책임’ 도입 논의도 이어지고 있다. 하지만 사고 ‘발생’에만 초점을 맞춘 제재로는 한계가 분명하다는 지적이 나온다.

제재 두려워 기업 10곳 중 7곳 신고 안해
실제로 강한 제재 가운데 자진 신고는 위축되는 흐름이 나타난다. 과학기술정보통신부와 한국정보보호산업협회(KISIA) 정보보호 실태조사에 따르면 침해사고를 겪은 기업의 신고 비율은 2024년 19.6%에 그쳤고, 2025년에도 31.4%에 머물렀다. ‘피해 공개 부담’과 ‘복잡한 신고 절차’가 주요 이유로 꼽혔다. 결국 사고를 경험한 기업 10곳 중 7곳은 신고하지 않고 덮어둔 셈이다.

그래픽=정수경 기자

그래픽=정수경 기자
침해 범죄 발생 건수도 줄지 않고 있다. 지난해 한국인터넷진흥원(KISA)에 접수된 사이버 침해사고가 전년 대비 26.3% 증가해 역대 최다를 기록했다.

전문가는 사이버 공격을 특정 기업의 관리 소홀을 넘어선 ‘사회 구조적 위험’으로 인식해야 한다고 강조한다. 특히 인공지능(AI) 기술의 발전으로 사이버 공격이 고도화되고 24시간 자동화되면서 어떤 기업도 해킹을 100% 완벽하게 차단하는 것은 현실적으로 어렵기 때문이다. 이에 따라 ‘예방’과 ‘사후 대응’을 함께 고려한 제도 설계가 필요하다는 주장이다. 신만중 광운대 법학과 교수는 “오는 9월 개정법률이 개인정보 보호 강화를 목표로 하고 있지만, 정보 제공 철회 절차나 AI 기반 데이터 처리에 대한 구체적 기준이 부족해 실효성을 높이기 위한 보완이 필요하다”고 말했다.

규제의 초점도 ‘완전한 차단’에서 ‘사고 이후 대응의 질’로 옮겨가야 한다는 제언이 나온다. 최경진 가천대 법학과 교수는 “중요한 것은 사고를 완전히 차단하는 것이 아니라, 발생 이후 얼마나 빠르게 충격을 흡수하고 정상화하느냐”라고 말했다. 안종호 법무법인 세종 변호사 역시 “사전 예방에만 집중된 현행 제재 체계에 사후 대응 노력까지 명확히 반영해야, 기업이 책임 회피에 머무르지 않고 피해 확산 방지에 적극 나설 유인이 생긴다”고 말했다.

그러나 현실의 규제는 기업의 이러한 사후 대응 노력을 제대로 반영하지 못하고 있다는 평가다. 최현우 성신여대 융합보안공학과 교수는 “지난해 통신3사 사례를 보면 초기 신고를 한 기업이 오히려 더 큰 부담을 떠안는 구조처럼 비칠 수 있다”며 “신고하지 않은 경우 과태료는 최대 3000만원에 그치지만, 자진 신고 시에는 대규모 과징금과 사회적 이슈로 이어지면서 다른 기업 입장에선 신고 유인이 오히려 약해지는 상황이 됐다”고 되짚었다.

대표적으로 지난해 KT는 해킹 사태 직후 감염 서버를 폐기하고 신고 시점을 늦췄다는 의혹을 받고 있고, LG유플러스는 운영체제(OS)를 재설치해 포렌식 조사를 어렵게 했다는 논란이 제기됐다. 쿠팡은 약 5개월 치의 접속 기록을 삭제했다. 관련 사안은 모두 수사 중이다. 국회 과학기술정보방송통신위원회 소속 이해민 의원(조국혁신당)은 “증거를 인멸해 인과관계를 불명확하게 만들 경우 오히려 제재가 약해질 수 있는 구조”라며 “이 때문에 기업들이 초기 신고를 주저하고 조사 자체를 어렵게 만드는 것”이라고 우려했다. 초기 신고를 한 기업이 상대적으로 더 큰 부담을 지는 왜곡된 유인이 작동하고 있다는 의미다.

이 같은 한계는 적극적 대응 사례에서도 드러난다. 지난해 롯데카드는 약 297만 명 규모의 개인정보 유출 사고 이후 고객을 위험군별로 분류해 보호 조치를 시행하고 24시간 대응 체계를 가동했다. 최고경영진이 신속히 당국에 보고하고 직접 대응에 나섰으며, 수습 이후에는 경영진이 사임하는 등 책임 조치도 이뤄졌다. 이 같은 대응으로 부정 결제 피해는 한 건도 발생하지 않았다. 그럼에도 개인정보위원회는 96억2000만원의 과징금을 부과했고, 금융당국은 이와 별도로 최대 50억원의 과징금과 영업정지 등 추가 제재를 검토하고 있다. 대응의 질이 제재에 충분히 반영되지 않는 구조라는 지적이 나오는 대목이다.

해외와의 차이도 뚜렷하다. 주요 선진국은 기업의 대응 노력을 구체적으로 평가해 유연하게 접근한다. 2018년 대규모 데이터 유출 사고를 겪은 영국항공은 초기 약 1억8339만 파운드의 과징금을 통보받았으나, 이후 적극적인 보안 개선과 사후 대응 노력을 인정받아 최종 2000만 파운드로 대폭 감경됐다.

“피해구제 기금, 보안 투자 유도 바람직”
개인정보 보호 정책의 목적은 처벌 자체가 아니라 국민의 정보 보호와 피해 구제에 있다. 고액 과징금이나 영업정지 중심의 제재에서 벗어나, 피해자 보상과 보안 투자 유도 중심으로 제도를 재설계할 필요성도 제기된다. 지난해 리얼미터 조사에서 응답자의 83.1%가 징벌적 손해배상 도입에 찬성했으나, 보상 방식으로는 ‘직접 보상’(49.8%)이 가장 높은 비율을 차지했다. 과징금이 국고로 귀속되는 구조에서는 피해자 보상이나 실질적인 개인정보 보호 강화로 이어지기 어렵기 때문이다. 최경진 교수는 “피해 구제 기금과 보안 투자 유도 중심으로 전환할 필요가 있다”고 말했다.

배현정 기자

Copyright © 중앙SUNDAY. 무단전재 및 재배포 금지.

중앙SUNDAY에서 직접 확인하세요. 해당 언론사로 이동합니다.