KT까지 뚫렸다… 징벌적 과징금, 해법인가 또 다른 위험인가

SKT 이어 KT까지 개인정보 유출…정부 ‘징벌적 과징금’ 카드
전문가 “신고 기피·은폐 부작용 우려…‘중대한 침해’ 기준 필요”
과징금 활용 방향 재검토 목소리…“피해 구제·보안 투자로 이어져야”

▲최장혁 개인정보보호위원회(개인정보위) 부위원장이 11일 오전 서울 종로구 정부서울청사에서 개인정보 안전관리체계 강화방안 브리핑을 하고 있다. (뉴시스)

2300만 명 개인정보가 유출된 SK텔레콤에 1348억 원의 과징금을 부과한 개인정보보호위원회(개보위)가 ‘징벌적 과징금’ 도입을 추진한다. 같은 방식의 해킹을 반복적으로 당하는 기업에 더 무겁게 책임을 묻겠다는 취지지만, 실효성 논란이 커지고 있다.

이번 방안은 개보위가 11일 발표한 ‘개인정보 안전관리 체계 강화 방안’에 담겼다. 이재명 대통령이 “보안 사고를 반복하는 기업에는 징벌적 과징금을 포함한 강력한 대책을 마련하라”고 지시한 지 일주일 만이다. 최장혁 개보위 부위원장은 브리핑에서 “가중·감경 제도를 적극 활용해 반복 유출에는 과징금을 강화하겠다”며 “다만 징벌적 제도는 다른 법률과의 정합성이 있어 장기적으로 연구·추진하겠다”고 설명했다.

하지만 전문가들은 징벌적 과징금이 오히려 기업의 ‘신고 회피’를 부를 수 있다고 지적한다. 무단 소액결제 사태 당시 “개인정보 유출은 없다”고 했던 KT도 11일, 국제이동가입자식별번호(IMSI) 유출 가능성이 있는 고객 5561명을 뒤늦게 신고했다.

13일 이성엽 고려대 기술경영전문대학원 교수는 “신고하면 회사 존립이 흔들리는데 차라리 숨기고 넘어가려는 유인이 커진다”며 “특히 대기업보다 중소기업에서 은폐 유혹이 더 강하다”고 말했다.

이에 대한 보완책으로 김형중 고려대 정보보호대학원 교수는 “‘중대한’ 침해에 한정해야 한다”고 제안했다. 그는 “사소한 해킹까지 징벌적 과징금 대상으로 삼으면 신고 자체가 줄어들 수 있다”며 “중대한 사건일수록 신고하지 않으면 더 큰 타격을 받을 수 있다는 경각심을 줘야 한다”고 강조했다.

국회에서도 징벌적 과징금에 대한 논의가 시작됐다. 과학기술정보방송통신위원회 소속 이훈기 더불어민주당 의원은 최근 ‘전체 매출액의 10% 범위 내’에서 징벌적 과징금을 부과할 수 있도록 하는 개인정보보호법 개정안을 발의했다. 현행 상한은 관련 매출액의 3%인데, 지난해부터는 ‘기업 전체 매출의 3%’까지 확대됐다. SKT의 경우 전체 매출의 약 1%인 1348억 원이 부과됐다.

다만 김형중 교수는 “징벌적 과징금을 말한 건 SKT에 3000억 원도 부과할 수 있다는 선언적 의미”라며 과징금을 최대 3% 이상 부과하기 어렵다고 내다봤다.

일각에서는 개인정보 유출 사건과 관련한 과징금 제도 자체를 근본적으로 다시 설계해야 한다는 목소리도 나온다. 김도승 개인정보보호법학회장(전북대 로스쿨 교수) “과징금은 불법 이익 환수 수단이지 피해자 구제나 보안 강화 장치가 아니다”라며 “기업이 해킹 피해자이기도 한 만큼 과징금을 피해자 보상이나 보안 투자 재원으로 활용하는 방향이 필요하다”고 말했다.