![유통·플랫폼 업계의 고질적인 개인정보 유출 사고를 근절하기 위해 규제 당국이 전방위적인 압박에 나섰다. [사진=픽사베이]](https://images-cdn.newspic.kr/detail_image/181/2026/6/8/a1020ddd-140d-474e-a49e-0b93a9d99f60.jpg?area=BODY&requestKey=w3Hru72p)
[이뉴스투데이 이경진 기자] 유통·플랫폼 업계의 고질적인 개인정보 유출 사고를 근절하기 위해 규제 당국이 전방위 압박에 나섰다.
최근 유통가에서 연이어 불거진 보안 리스크가 계기가 된 것으로, 기업 내부 관리 체계 세밀화 등 기업 자체 체질 개선에 대한 압박 수위를 올리는 모습이다.
8일 개인정보보호위원회에 따르면 ‘개인정보 보호법 시행령’ 입법을 예고하며 개인정보 유출 사전예방 강화에 나섰다. 입법 내용에 따라 연 매출 1800억원 이상 등 일정 규모 이상의 기업과 공공·의료기관은 개인정보보호책임자(CPO) 지정 및 변경 시 반드시 이사회 의결을 거쳐 1개월 내에 의무적으로 신고해야 하며, 대규모 정보통신사업자 등은 오는 2028년까지 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 의무적으로 획득해야 한다.
특히 실제 유출이 확인되지 않았더라도 시스템 불법 접근이나 불법 거래 정황 등 유출 가능성만 인지하면 72시간 내에 정보주체에게 즉각 통지하도록 유출 대응 기준을 높였으며, 가벼운 사안으로 경고 조치만 받았더라도 이를 1회 위반 이력으로 누적 산정해 동일 위반 재발 시 가중된 과태료를 엄격하게 부과하도록 제재 실효성을 끌어올렸다.
정부의 강력한 입법 조치의 배경에는 유통·플랫폼 업계의 끊이지 않는 개인정보 유출 사고가 계기로 작용했다. 과거 쿠팡의 개인정보 유출 사태를 시작으로 대규모 보안 사고가 계속해서 이어짐에 따라 기업 자체 보안 개선을 주문하는 것으로 풀이된다. 최근 CJ그룹 계열사에서 여성 임직원들의 민감한 개인정보가 유출된 데 이어 CJ ENM이 자회사로 운영 중인 OTT플랫폼 ‘티빙’과 BGF리테일이 운영하는 ‘CU편의점 택배’ 등에서도 잇달아 보안 리스크가 노출되며 허술한 관리 체계가 문제로 지목됐다.
실제 유통·플랫폼 업계에서 개인정보 유출은 단순한 시스템 사고를 넘어 즉각적인 고객 이탈과 매출 하락으로 직결되는 치명적인 리스크다. 방대한 고객 데이터를 기반으로 맞춤형 서비스를 제공하는 산업 특성상 보안 신뢰도가 무너지면 기업 건전성 자체가 흔들릴 수 있기 때문이다. 보안이 곧 기업의 핵심 경쟁력이라는 인식이 확산하면서 경영 전반에 걸쳐 개인정보 보호에 대한 긴밀하고 선제적인 시스템 구축이 요구되고 있다.
최근 임직원 개인정보 유출 사고를 겪은 CJ 측은 즉각적으로 △정보보안 △법무 △인사 등 유관 부서로 구성된 ‘개인정보 보호 지원 TF’를 신설해 운영에 돌입했다. 사측은 피해 임직원들과 직접 소통하며 2차 피해 예방과 개인 불편사항 해결 등 밀착 지원에 역량을 집중하며 사태 수습에 나서고 있다.
이번 개인정보위원회의 시행령 개정안 입법과 관련해서는 CJ관계자 측은 “금번 유출 이슈는 개인정보위 신고 대상이 아니었다”며 “해당 개정안의 적용 여부는 입법이 완료된 이후에 살펴볼 계획”이라고 전하며 상황을 주시하겠다는 입장을 보였다.
과거 대규모 정보 유출 사태를 겪었던 쿠팡 역시 사고 당시 48시간 이내에 관계 기관 신고를 완료하는 등 법적 기준에 맞춘 발 빠른 초기 대응을 강조했다. 이어 정부 조사에 적극 협조하고 재발 방지 대책을 지속적으로 강구하는 등 정보 보호에 최선을 다하고 있다는 입장이다.
기업들은 사후 대처를 넘어 선제적인 보안 인프라 확충에도 적극적으로 나서고 있다. 주요 유통 및 플랫폼사들은 외부 보안 전문 기관의 컨설팅을 통해 사내망 접근 통제 등 데이터 관리 체계를 전면 재점검하는 추세다.
기업들의 자발적·제도적 체질 개선은 일반 소비자들의 권리 보호와 즉각적인 혜택으로 직결된다. 가장 핵심적인 이점은 유출에 따른 2차 피해를 원천 차단할 수 있는 골든타임을 소비자가 직접 확보하게 된다는 점이다. 개정안에 따라 해킹 정황 등 유출 가능성만 인지해도 72시간 내에 즉각 통보, 소비자는 보이스피싱·명의 도용·결제 사기 등의 범죄에 노출되기 전에 비밀번호를 변경하고 카드를 정지하는 등 발 빠른 자체 방어 조치를 취할 수 있다.
하지만 이번 개정안이 산업 현장의 현실을 제대로 반영하지 못해 실효성이 떨어진다는 비판도 제기된다. 보안 인프라 고도화는 결국 막대한 예산 투입과 전사적인 시스템 개편이 수반돼야 하는데, 직책 격상만으로는 개별 기업의 자발적 의지나 CPO 개인의 역량에 지나치게 의존할 수밖에 없는 한계가 있다는 것이다.
이종우 남서울대 유통마케팅학과 교수는 “CPO의 권한을 강화하는 취지는 좋으나, 결국 개별 기업의 의지나 책임자의 역량에 따라 결과가 달라질 수 있어 제도적 실효성에는 한계가 있을 수 있다”고 말했다.
이어 “어느 수준의 접근을 유출 징후로 판단해 통지해야 하는지 기술적인 세부 기준이 다소 모호한 측면이 있다”라며 “기업들이 현장에서 즉각 적용할 수 있는 구체적인 방어벽 구축 및 기술적 관리 가이드라인을 명확히 제시해야 한다”고 강조했다.
한편 이번 개정안의 안정적인 안착을 위한 해결해야 할 과제가 거론된다. 우선 업계 내부에서는 권한이 강화된 CPO와 경영진 간의 원활한 의견 조율 체계가 필수적이라는 목소리가 나온다. 신사업이나 데이터 연계 마케팅 등 속도감 있는 추진이 필요한 상황에서 보안 검토가 엄격해질 경우 자칫 주요 의사결정이 지연될 수 있다는 이유에서다.
획일적인 기준 적용에 따른 규제 사각지대 발생 가능성도 주목할 대목이다. 개정안은 연 매출 1800억원 이상을 의무 대상으로 삼고 있으나, 중개 수수료만을 매출로 인식하는 일부 오픈마켓의 경우 실질적인 거래 규모나 취급하는 데이터 양에 비해 회계상 매출이 낮아 규제 대상에서 제외될 여지가 있다. 이에 따라 제도의 도입 취지를 온전히 살리기 위해서는 플랫폼 산업의 특성을 반영한 세밀한 기준 보완이 병행돼야 한다는 제언이 나온다.
Copyright ⓒ 이뉴스투데이 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
