그러나 현장에서 더 눈길을 끈 건 액수가 아니었습니다. 불과 몇 달 전만 해도 “엄벌이 필요하다”는 강경한 메시지를 던지던 고학수 위원장이 이번에는 “복제폰 가능성은 낮다”는 말과 함께 차분히 사건을 설명했기 때문입니다.
|
산식이 만든 역설
이번 사건은 알뜰폰 가입자를 포함해 2324만 4649명의 전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종의 정보가 유출된 중대한 해킹 사고였습니다. 그러나 아직까지 2차 피해는 확인되지 않았죠.
그럼에도 SK텔레콤이 받은 과징금은 구글(692억), 메타(308억)의 두 배 이상입니다. 개인정보를 상업적으로 활용해 이익을 챙긴 글로벌 빅테크보다 오히려 해킹 피해를 입은 기업이 더 무거운 제재를 받은 셈이죠.
논란의 핵심은 개인정보보호법의 과징금 산정 구조입니다. 신용정보법은 개인신용정보가 도난·분실되더라도 과징금 상한을 50억원으로 정했습니다. 은행이나 증권사는 그 이상을 내지 않지요.
반면 개인정보보호법은 ‘전체 매출액’을 기준으로 합니다. SK텔레콤의 무선 매출이 약 10조원에 달하다 보니, 감경을 적용해도 천억 원대 과징금을 피할 수 없는 구조입니다. 같은 개인정보 유출이라도 적용 법에 따라 기업의 운명이 극적으로 갈리는 셈입니다.
|
형식 논리에 갇힌 집행
이번 사건은 단순히 SK텔레콤의 문제가 아닙니다. 개인정보보호법 체계가 사회 전반에 어떤 신호를 던지고 있는지를 되묻게 합니다.
지난해 개인정보보호법 개정으로 과징금 기준은 ‘관련 매출액의 최대 3%’에서 ‘전체 매출액의 최대 3%’로 바뀌었지요. 기업 책임성을 강화하겠다는 명분이었지만, 실제로는 ‘프라이버시 보호’라는 법익보다 개인정보 자체를 과잉 보호 대상으로 삼는 결과를 낳았습니다.
김도승 전북대 교수는 “IMSI는 개인정보로 평가할 수 있어 제재는 불가피하지만, 피해 복구가 진행 중인데 수천억원을 확정하는 건 숙의가 부족했다”고 지적했습니다. 이성엽 고려대 교수 역시 “고의적 상업 활용 사례보다 더 큰 액수는 형평성에 맞지 않는다”고 했습니다.
과징금은 단순한 숫자가 아닙니다. 형식 논리에 갇힌 제도는 기업에 실질적 보안 강화를 요구하기보다는 신고를 주저하게 만드는 역설을 낳습니다.
개인정보보호법이 던져야 할 메시지는 “얼마를 때렸는가”가 아니라 “얼마나 지켜냈는가”여야 하지 않을까요?
자진 신고마저 위축시키는 구조
더 큰 문제는 해킹 피해 기업들의 자진 신고를 위축시킬 수 있다는 점입니다. SK텔레콤은 즉각 신고했고 서버 분리 등 조치도 취했지만, 결과는 달라지지 않았습니다. 반면 유럽 일반정보보호법(GDPR)은 자진 신고 시 80~90% 감경을 허용합니다.
이대로라면 기업들이 “신고하면 손해만 본다”며 은폐를 선택할 가능성이 큽니다. 실제로 과기정통부·한국인터넷진흥원(KISIA)의 ‘2024 정보보호 실태조사’에 따르면, 침해 사고를 겪은 기업 중 관계 기관에 신고한 비율은 19.6%에 불과했습니다. 여전히 낮은 수치죠.
남은 숙제는 법 개정
데이터 시대, 기업의 고객 정보 보호 책임을 강화하려는 취지 자체는 정당합니다. 그러나 절차적 숙의와 형평성이 담보되지 않는다면 사회적 신뢰는 흔들립니다.
인공지능과 데이터 활용이 국가 경쟁력의 핵심이 된 지금, ‘과징금 공포’만 남기는 제도는 기업들을 뒤로 숨게 만들고 정보보호 투자를 위축시킬 수 있습니다.
이제 필요한 것은 명확합니다. 기업 해킹시 개인정보보호법의 감경 기준과 산정 체계를 합리적으로 고쳐 해킹 피해 기업이 은폐가 아닌 보안 역량 강화로 나아갈 수 있는 환경을 만드는 일입니다. 중요한 것은 과징금 액수가 아니라 개인정보를 실질적으로 지켜내는 제도의 힘이라고 생각합니다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
