개인정보 수천만 건이 새어나가도…기업 책임은 가볍다

[사진=연합뉴스]

[폴리뉴스 이상명 기자] 최근 KT와 SK텔레콤 등 대형 통신사를 비롯한 기업들의 개인정보 유출 사고가 잇따르면서 국민 불안이 커지고 있다. 그런데 최근 5년간 국내에서 유출된 개인정보가 8,000만 건을 넘었음에도 이에 대한 처벌은 '건당 1,000원' 수준에 불과한 것으로 나타났다.

개인정보 유출이 해마다 반복되고, 피해 규모는 수백만 건에 이르지만 처벌은 턱없이 가볍다는 지적이다. 전문가들은 "개인정보는 한 번 유출되면 돌이킬 수 없는 피해로 이어지는 만큼, 법적 제재와 책임 구조 전반에 대한 대수술이 필요하다"고 입을 모은다.

22일 국회 정무위원회 소속 더불어민주당 민병덕 의원이 개인정보보호위원회에서 제출받은 자료에 따르면, 2021년부터 2025년 7월까지 발생한 개인정보 유출 사고는 총 451건. 이로 인해 유출된 개인정보는 8,854만3,000건에 달했다.

문제는 이러한 대규모 유출에도 불구하고, 실제 부과된 과징금과 과태료는 턱없이 낮다는 데 있다. 전체 유출 사고 중 과징금이 부과된 건수는 125건에 불과했고, 과징금 총액은 877억2,700여만 원이었다. 또 과태료는 405건에서 24억9,800만 원이 부과됐다.

이를 전체 유출 건수로 환산하면 개인정보 1건당 평균 과징금·과태료는 1,019원에 불과하다. 피해자 입장에서 보면, 자신의 이름·전화번호·주민등록번호 등 민감한 정보 한 건이 고작 1000원 남짓한 금전으로 처리되고 있는 셈이다.

민 의원은 "최근 SK텔레콤 유심 정보 유출, KT 소액결제 사기 피해 등 실제 소비자 피해로 이어지는 사건들이 계속되고 있다"며 "그럼에도 불구하고 기업들이 개인정보 보호에 안이하게 대응하는 이유는, 규제의 실효성이 낮기 때문"이라고 지적했다.

특히 연도별로 보면 문제는 더 명확해진다. 2021년에는 유출된 개인정보 1건당 제재금이 평균 41원에 불과했고, 2022년에는 200원, 2023년에는 1,063원 수준이었다. 올해 들어서야 2,743원으로 다소 증가했지만, 이 역시 실질적인 억지력과는 거리가 멀다는 평가다.

개인정보보호법은 전체 매출액의 3% 이내에서 과징금을 부과할 수 있도록 하고 있지만, 기업 입장에서는 해당 조항이 실제로 위협이 되지 않는다는 판단이다. 법상으로는 '매출액이 없거나 산정이 곤란한 경우, 20억원 이내로 과징금을 부과할 수 있다'고 규정하고 있어, 이마저도 유예 수단이 되고 있다.

전문가들은 EU의 일반개인정보보호법(GDPR)과 같은 강력한 법적 제재가 도입돼야 한다고 강조한다. GDPR은 개인정보 보호 규정을 위반한 기업에 대해 최대 2,000만 유로(약 328억 원), 혹은 전년도 전 세계 매출의 4% 중 더 높은 금액을 과징금으로 부과할 수 있도록 하고 있다.

실제로 아마존은 2021년 룩셈부르크 개인정보보호위원회로부터 GDPR 위반 혐의로 무려 7억4,600만 유로(약 1조2,200억 원)의 과징금을 부과받았다. 글로벌 빅테크 기업도 쉽게 넘을 수 없는 수준의 제재다.

민병덕 의원은 "국민의 민감한 정보가 대규모로 유출되는 시대에, 기업의 책임을 묻지 않는다면 이 같은 사고는 반복될 수밖에 없다"며 "GDPR 수준의 강력한 과징금 체계와 함께, 집단소송제, 징벌적 손해배상제 같은 실효성 있는 제도가 반드시 마련돼야 한다"고 강조했다.

개인정보 유출 사고는 단순한 데이터의 문제가 아니다. 피해자의 금융사기, 사생활 침해, 명의도용 등 2차·3차 피해로 이어질 수 있는 심각한 사회적 리스크다. 특히 최근에는 AI 기반 개인정보 활용이 늘어나면서, 유출 정보가 악용될 경우 그 파장은 상상 이상이라는 분석도 나온다.

권남훈 건국대 경제학과 교수는 "기업의 보안 투자를 유도하기 위해서라도 법적 리스크를 높이는 것이 가장 현실적인 대안"이라며 "징벌적 손해배상과 같은 제도는 단순히 처벌을 위한 수단이 아니라, 기업들이 사전 예방 조치를 취하도록 만드는 핵심적 유인"이라고 말했다.

개인정보보호위원회도 이에 대해 내부 검토를 진행 중인 것으로 알려졌으며, 정부 역시 오는 정기국회를 계기로 관련 법 개정을 추진할 계획이다. 하지만 국회 논의는 여전히 지지부진한 상황이다.

이번 정기국회에서는 집단소송제와 징벌적 손해배상제 도입을 핵심으로 한 '개인정보보호법 개정안'이 논의될 예정인 가운데, 국민적 관심도 점점 높아지고 있다. 개정안이 통과될 경우, 개인정보 유출에 따른 실질적인 피해 보상과 기업의 책임 강화로 이어질 수 있어, 제도 개선의 향방에 이목이 집중되고 있다.