[소비자주권시민칼럼] 티빙 개인정보 유출, 파기의무 위반에도 실효적 제재가 필요하다

실시간 키워드

2022.08.01 00:00 기준

[소비자주권시민칼럼] 티빙 개인정보 유출, 파기의무 위반에도 실효적 제재가 필요하다

소비자경제신문 2026-07-16 12:58:43 신고

3줄요약
곽도성 소비자주권시민회의 정책팀장
곽도성 소비자주권시민회의 정책팀장

[소비자경제] 곽도성 소비자주권시민회의 정책팀장 = 지난 6월 2일 티빙에서 대규모 개인정보 유출이 확인됐다. 현재까지 파악된 유출 규모는 1,953만 명으로, 티빙의 유료회원(약 500만 명)과 월간활성이용자(MAU, 약 800만~900만 명)의 두 배가 넘는 대규모 개인정보 침해사고다. 유출된 개인정보에는 아이디·이름·생년월일·휴대전화번호·비밀번호뿐 아니라 연계정보(CI)와 중복가입확인정보(DI)까지 포함됐다.

이번 사고에서는 침입 경로와 기술적 보안조치의 적정성뿐 아니라, 티빙이 실제 이용 규모의 두 배가 넘는 개인정보를 보유하게 된 경위도 규명돼야 한다. 유출된 정보에 탈퇴회원이나 보유기간이 지난 개인정보가 상당수 포함돼 있다면, 불필요한 개인정보를 파기하지 않은 것이 이번 사고의 피해 규모를 키운 원인이 될 수 있기 때문이다.

「개인정보 보호법」(이하, 법) 제21조는 보유기간이 지났거나 처리 목적이 달성돼 불필요해진 개인정보를 지체 없이 파기하도록 규정한다. 그러나 이를 위반하더라도 직접적인 제재는 3천만 원 이하의 과태료에 그친다. 법 제21조 위반 자체는 전체 매출액의 3%까지 부과할 수 있는 과징금 부과 대상으로 직접 규정되어 있지 않고, 형사처벌 대상에도 해당하지 않는다. 피해자가 스스로 나서 손해를 증명해야 하는 민사상 손해배상만으로는 기업의 법 위반행위를 충분히 억제하기 어렵다.

개인정보가 유출된 경우 법 제64조의2 제1항 제9호에 따른 과징금 부과가 가능하지만, 개인정보처리자가 법 제29조에 따른 안전성 확보조치를 다한 경우에는 과징금이 부과되지 않는다. 결국 파기하지 않은 개인정보가 유출됐다고 하더라도, 개인정보처리자가 안전성 확보조치를 충분히 이행했다고 인정되면 과징금이 아닌 과태료만 부과될 수 있다.

그러나 제때 파기했다면 유출되지 않았을 개인정보를 방치해 수천만 명을 장기간 범죄 위험과 불안에 노출시킨 행위에 대한 제재가 최대 3천만 원의 과태료에 그친다면, 이는 위반의 규모와 위험에 비례하는 제재라고 보기 어렵다. 특히 대규모 플랫폼 기업에 이러한 과태료는 실질적인 부담이 되기 어려워, 불필요한 개인정보를 적시에 파기할 유인으로 작동하지 못한다.

물론 모든 파기의무 위반을 중대한 제재 대상으로 보아야 하는 것은 아니다. 일시적인 업무상 착오와 고의적인 의무 위반은 분명 구분해야 하며, 파기하지 않은 개인정보의 규모와 보유 기간, 고의·중과실 여부, 반복성, 실제 피해 발생 여부 등을 종합적으로 고려해 책임 수준을 달리하는 것이 합리적이다.

티빙은 보유한 개인정보의 계정 유형별 인원과 수집 목적, 보유기간, 법적 근거를 스스로 공개해야 한다. 개인정보보호위원회는 탈퇴회원이나 보유기간이 지난 개인정보가 실제로 포함돼 있었는지, 파기하지 않은 정보가 유출 규모를 키웠는지 철저히 조사해 그 결과를 제재 수준에 반영해야 한다.

이와 별개로 국회는 고의 또는 중대한 과실로 대규모 개인정보를 장기간 파기하지 않은 경우, 실제 유출 여부와 상관없이 매출액에 비례한 과징금을 부과할 수 있도록 법 개정을 검토해야 한다. 시정명령을 받고도 파기하지 않거나 동일한 위반을 반복하는 경우에는 더욱 무거운 책임을 물을 수 있도록 제도를 마련해야 한다. 개인정보 보호는 외부 침입을 막는 데서 끝나지 않는다. 필요하지 않은 정보를 보유하지 않고, 보유할 이유가 사라진 정보를 제때 파기하는 것이야말로 가장 확실한 보호조치다.

지금까지 개인정보 보호 규제는 개인정보 유출 사고가 발생한 이후 위반 여부를 가려 과징금이나 과태료를 부과하는 사후적 제재 위주에 머물러 왔다. 그러나 사후 제재로는 이미 유출된 개인정보와 그로 인한 피해를 되돌릴 수 없으며, 제재 수위를 높이는 것만으로는 사고가 반복되는 것을 막기 어렵다. 개인정보보호위원회는 기업의 불필요한 개인정보 보유 실태와 파기의무 이행 여부를 사고 발생 이전에 상시적으로 점검하고 시정할 수 있는 감독 체계를 갖춰야 한다. 정부와 국회는 티빙의 대규모 개인정보 유출 사고를 계기로, 위반이 확인된 뒤 제재를 부과하는 방식에서 나아가 위반이 발생하지 않도록 예방 중심의 규제 환경을 조성하는 방향으로 개인정보 보호 정책의 무게중심을 옮겨야 한다. 파기의무 위반에 대한 제재 공백을 바로잡아 기업이 불필요하게 보유한 개인정보의 규모와 위험에 상응하는 책임을 지도록 하는 것이, 반복되는 유출 사고를 막는 첫걸음일 것이다.

 

npce@dailycnc.com

Copyright ⓒ 소비자경제신문 무단 전재 및 재배포 금지

본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.

다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요

실시간 키워드

  1. -
  2. -
  3. -
  4. -
  5. -
  6. -
  7. -
  8. -
  9. -
  10. -

0000.00.00 00:00 기준

이 시각 주요뉴스

알림 문구가 한줄로 들어가는 영역입니다

신고하기

작성 아이디가 들어갑니다

내용 내용이 최대 두 줄로 노출됩니다

신고 사유를 선택하세요

이 이야기를
공유하세요

이 콘텐츠를 공유하세요.

콘텐츠 공유하고 수익 받는 방법이 궁금하다면👋>
주소가 복사되었습니다.
유튜브로 이동하여 공유해 주세요.
유튜브 활용 방법 알아보기