반복되는 개인정보 유출, 제재강화에 한목소리

[이뉴스투데이 김영민 기자] 개인정보 불법거래와 기관·기업의 개인정보유출 사고가 끊이지 않는 가운데 개인정보유출 사고를 예방하기 위한 정부의 노력이 지속되고 있다. 가시적인 성과는 크지 않아 일각에서는 개인정보유출 사고를 줄이기위해선 현행법을 개정해 제재를 강화해야 한다고 강조했다.  

개인정보보호위원회(개인정보위)와 한국인터넷진흥원은 지난 8일 개인정보 불법유통을 집중단속하고 국내외 주요 인터넷사업자와 협력해 불법 게시물의 신속한 삭제·차단 계획을 밝혔다. 다크웹은 별도의 브라우저를 통해서만 접속할 수 있고 게시자를 파악하기 어려워 제외됐다.

개인정보위에 의하면 국내에서 발생한 개인정보유출사고의 경우 사례를 특정할 수는 없지만 다크웹의 경우 이미 유출된 개인정보를 복사해 보유한 경우가 많다. 새롭게 유입된 정보는 많지 않다.

보안관련 업계에서는 개인정보유출로 수집된 정보는 피해를 겪은 이용자가 회원탈퇴, 정보변경 등의 조치를 취하면서 유용하지 않은 경우가 많고 단속보다는 예방대책을 마련해야 한다는 입장이다. 특히 개인정보 유출사고에 대한 법·제도적인 규제를 강화할 필요가 있다고 봤다.

개인정보유출사고가 빈번하게 발생하고 있지만 피해규모에 비해 제재가 약한 이유로 적극적인 대응을 하지 않는다는 이유다.

학계나 법조계에서도 유럽연합(EU)와 같이 행정 제재를 강화해 전체 매출 대비 과징금을 부과하거나 개인정보 유출 사실을 공시 포함을 의무화함으로써 경각심을 높일 수 있다고 강조했다.

현재의 과징금 부과가 피해규모에 비해 제재 수위가 낮고 형사처벌로 제재하기에는 한계가 있기 때문이다. 국내법상 정보주체의 동의를 받지 않고 개인정보를 제3자에게 제공하거나 목적외 이용, 유출한 경우에는 5년이하의 징역이나 5000만원 이하의 벌금에 처하고 있지만 최대 형량이 부과된 적은 없다.

특히 최근 발생하는 개인정보유출의 경우 고의범죄가 아닌 업무상 실수나 기술적 보호조치가 부족한 경우가 많다.

이근우 법무법인 화우 파트너변호사는 “개인정보유출과 관련해 형사처벌을 강화하면 가시적인 성과를 가져오겠지만 최근 발생하는 개인정보유출 사건은 고의범죄가 아닌 업무실수 등에 의한 경우가 많다”며 “형사처벌 보다는 행정 제재를 강화해 기업이나 기관에 경각심을 심어줘야 한다”고 말했다.

이어 “형사 처벌은 고의를 입증하기 어렵고 결론이 나기까지 상당한 기간이 소요된다”며 “아직까지 최대 형량이나 벌금이 부과된 경우는 없다”고 덧붙였다.

개인정보유출 사실을 공시에 포함함으로써 기업의 제품이나 서비스를 이용하는 소비자에게 지속적으로 알리는 방법도 제기됐다.

김경환 법무법인 민후 대표변호사는 “피해규모에 비해서 제제의 수위가 낮아 개인정보유출 사건이 근절되지 않는다”며 “중대재해처벌처벌법과 같이 행위에 대한 적정한 제재가 따라야 의식이 달라진다”고 밝혔다.

이어 “개인정보유출은 기술적인 문제보다 관리부실에 의한 경우가 많고 기업의 투자를 하지 않으면서 발생하는 경우가 많다”며 “개인정보유출 사실을 공시에 의무화 시킨다면 매출하락을 우려한 기업의 투자를 유도할 수 있을 것”이라고 덧붙였다.

유럽연합(EU)의 경우 지난 2018년 GDPR 규정을 마련, 개인정보보호조치를 강화하면서 침해사고 발생 시, 전 세계 매출의 4%를 과징금으로 부과할 수 있는 기준을 마련했다. 유럽에서 사업을 영위하는 국내 기업도 관련 조직을 신설하는 등 GDPR 대응에 나선 바 있다.

국내에서도 유사한 제도의 필요성이 언급되면서 개인정보보호법 2차 개정안이 국회에 제출됐지만 아직까지 계류 중이다.

지난해 9월 개인정보위는 인공지능(AI) 등 신기술 발전에 대응하고 현행법 기준 담당자 개인에 대한 형벌 중심의 문제를 개선하기 위해 기업의 과징금을 부과하는 개정안을 제출했다.

과징금의 경우 상한액은 GDPR 등 글로벌 수준에 맞춰 전체 매출액의 3% 이하를 기준으로 조정하고 기업이 안전조치를 다한 경우에는 과징금 부과 대상에서 제외하기로 했다. 다만 산업계에서는 전체 매출이 아닌 관련 매출액의 3% 이하를 과징금의 기준으로 규정해야 한다는 입장이다.

10일 대한상공회의소에서 열린 신년 산업계 개인정보 정책간담회에서 우태희 대한상근 부회장은 “전체 매출액이 아닌 관련 매출 규정이 업계의 공통된 의견”이라고 밝혔다.

한편 법·규제를 통한 제재도 중요하지만 개인정보 주체의 의식 변화도 필요하다는 주장도 있다. 개인정보유출이 발생한 기업에 대한 보이콧 움직임이 있다면 기업의 대응도 달라지기 때문이다.

김승주 고려대학교 정보보호대학원 교수는 “국내 법이 약해서 기업이 개인정보유출을 신경 안쓰기 보다는 개인이나 기업의 인식이 약하기 때문”이라며 “개인정보유출 등 문제가 발생했을 때 위험한 기업으로 인식하고 불매운동을 진행한다면 기업도 움직임이 있겠지만 그렇지 않다”고 지적했다.

이어 “법 개선에 앞서 개인정보 주체의 인식이 바뀌지 않는다면 기업에서는 과징금을 내고 말지라는 인식이 바뀌지 않을 것”이라고 덧붙였다.