개인정보 유출 사고가 반복되고 있지만, 한국의 규제 체계는 여전히 사고 이후 과징금 중심의 사후 규율에서 벗어나지 못하고 있다. 미국과 유럽연합(EU) 등은 사고 발생 시 ‘기업 책임을 실질적으로 묻는 체계’를 갖추었지만, 국내에서 사고를 선제적으로 예방하는 제도는 공백이라는 지적이 나온다.
7일 통신업계에 따르면 해외 주요국과 비교해 한국의 개인정보 보호 제도적 한계는 더욱 선명하게 드러난다. 해외는 기업의 보안 투자 유인을 명확히 만든다. 사고가 나면 기업 생존이 흔들리는 수준의 제재까지 가기 때문에, 사고 이전에 사고를 ‘내면 안 되는 일’로 만드는 제재 구조를 갖춰 기업의 보안 투자를 강제하고 있다.
유럽연합(EU)은 일반개인정보보호법(GDPR)을 통해 기업에 유출 사실을 72시간 이내에 신고하도록 의무화했다. 심각한 위반 시 전 세계 매출액의 최대 4% 또는 2000만 유로 중 더 큰 금액을 과징금으로 부과할 수 있다.
우리나라의 현행 개인정보보호법은 개인정보를 유출한 기업에 매출액의 최대 3%를 과징금으로 부과할 수 있다고 규정한다. 연 매출액이 약 41조 원인 쿠팡은 이에 따라 최대 1조2000억 원의 과징금을 부과받을 수 있다. 앞서 정부는 SK텔레콤에 1348억 원의 과징금을 부과했다.
하지만 정부가 부과한 과징금은 일반회계 수입으로 분류돼 국고에 들어가며 피해자에게 돌아가지 않는다. 집단소송 제도도 실효성이 낮다. 피해자가 피해 입증 책임을 져야 하는데 기업 내부 자료에 접근하기 어려워 실제 손해배상으로 이어지는 사례가 드물기 때문이다. 사고 은폐 여부를 강제적으로 추적할 조사권도 제한적이다.
미국에서는 개인정보 유출 사태가 발생하는 순간 집단소송과 징벌적 손해배상이 자동으로 뒤따른다. 이때 법률적 책임을 묻는 주체는 정부가 아닌 개별 피해자·시민단체다. 징벌적 손해배상제와 집단소송이 활성화돼 있어 문제가 생겼을 때 기업의 존립을 위협할 정도의 소송을 당할 수 있다. 특히 일부 피해자가 기업 등을 상대로 손해배상을 청구해 승소하면 소송에 참여하지 않은 피해자도 같은 배상을 받기 때문에 기업 부담이 커진다.
2019년 미국 대형 금융기업 캐피털 원에서는 아마존 웹서비스(AWS) 스토리지의 잘못된 설정 악용으로 약 1억 명의 고객 금융정보가 유출됐다. 집단소송을 당한 캐피털 원은 피해자들에게 합의금으로 1억9000만 달러(약 2800억 원)를 지급했으며 미 금융당국에 벌금 8000만 달러(약 1200억 원), 사후 고객 모니터링 프로그램에 1500만 달러(약 220억 원) 등 총 4000억 원 이상의 비용을 들여야 했다.
김형중 고려대 정보보호대학원 교수는 “미국처럼 모두가 원고가 되지 않아도 공통된 부분에 대해 단일 피해 주장을 할 수 있도록 집단소송 방식을 바꿔야 한다”며 “우리나라도 과징금을 전용회계로 바꿔서 피해자들을 구제하는 데 쓰일 수 있도록 법제화해야 한다”고 제안했다.
![11월 괴담 아닌 12월 괴담 [이슈크래커]](https://img.etoday.co.kr/crop/140/88/2265475.jpg)
![테슬라 주가 '이때' 대책 없이 성장합니다! ㅣ 강정수 블루닷AI 연구센터장 [찐코노미]](https://i.ytimg.com/vi/B202M7TyqO0/mqdefault.jpg)
![“정말 돈 없고 구멍난 옷 입었는데”...추성훈이 180도 달라진 비결 [셀럽의 재테크]](https://img.etoday.co.kr/crop/300/170/2265245.jpg)
![입장 밝히는 법사위 여야 의원들 [포토]](https://img.etoday.co.kr/crop/300/190/2265534.jpg)