A는 퇴근길, 스타벅스에 들러 20% 정도 할인된 금액으로 커피를 한잔 샀다. 그가 가입한 SK텔레콤의 ‘생활밀착형 통합 구독 상품’을 이용하면서다. 커피를 든 그는 지하철에 올라 ‘어디서나 픽업은 물론 나만의 냉장고와 QR결제 택배 서비스까지’ 가능한 우리동네GS 앱을 이용, 퇴근길 필요한 물품을 구매하고 YES24를 통해 재테크(코인투자) 관련 도서 2권을 구매했다. A는 현재 업비트를 통해 코인관련 투자를 하고 있기 때문이다. 도서 구매 후 넷마블 게임앱을 열어, 집에서 B 때문에 자유롭게 할 수 없는 리니지2를 하기 시작한다. 그렇게 A는 집으로 향했다.
아내인 B의 퇴근길은 이렇다. B는 퇴근길 메가커피에 들러 무료로 커피한잔을 마신다. 그가 이용하는 KT의 혜택 덕분이다. 집으로 돌아오는 길, B는 A가 우리동네GS 앱을 통해 구매하지 못한 물품을 쿠팡을 통해 사기로 한다. 결제는 롯데카드. 모든 쇼핑을 온라인으로 마친 그녀 역시 피곤한 퇴근길을 이어간다.
A와 B가 집에서 만나 저녁식사를 한다. 식사를 하는 도중 TV에서는 캄보디아 범죄조직에 대한 뉴스가 계속되고 있다. 캄보디아에 취업 명목으로 간 한국인들이 알고 보니 피해자이자 가해자라는 것 내용이다.
이제 살펴보자.
SK텔레콤, KT, GS리테일, YES24, 쿠팡, 롯데카드, 넷마블, 업비트를 묶어서 C라고 하자. C들의 공통점은 모두 개인정보가 유출된 기업들이다. C는 원치 않게도 A와 B의 개인정보를 모두 빼앗겼다. A와 B, C 모두 범죄의 피해를 입었다.
그런데 그 개인정보는 어디에 쓰일까? 예상했겠지만 범죄에 쓰일 가능성이 가장 높다.
탈취된 개인정보는 당장 이들 부부에게 피해를 줄 수 있다. 실제 KT의 개인정보 유출로 몇몇 사용자들은 소액결제 피해자가 됐고, 피해를 입지 않았어도 소액결제를 정상적으로 사용하던 이들에게까지(결제 차단 및 축소) 영향을 끼쳤다. 또한 쿠팡의 경우는 저장된 공동현관문 비밀번호 유출로 2차 피해가 있을까 두려움에 떨어야 한다.
나머지 공통적인 것은 우리의 정보들이 어디론가 팔려가 범죄에 사용될 수 있기에, 당신의 이름과 전화번호 등 개인신상은 범죄에 활용될 가능성이 있다. 보이스피싱, 불법대출, 로맨스스캠을 이용하는 범죄자들은 A와 B의 개인정보를 통해 나쁜일을 벌일 것이고, 이를 통해 이들 부부(A와 B)는 원치 않는 범죄에 끌어들여지게 된다. 마치 여행을 갔다가 납치를 당해 캄보디아에서 범죄에 가담한 사람들처럼. 개인정보 유출의 피해는 당사자 뿐만 아니라 나도 모르는 사이 누군가에게는 내가, A가, B가 범죄 가해자의 당사자가 되는 셈인 것이다.
기업의 신뢰도, 처벌, 보상으로 인한 지출 등 C 역시 큰 피해자이지만 이들의 관리를 들여다 보면 이들을 피해자라고만 단정할 수 없는 건 당연하다. C와 이용자 사이의 관계는 처음부터 동등하지 않다. 서비스를 이용하려면 개인정보 제공이 전제되고, 이용자는 그 정보가 어떻게 수집·보관·활용되는지에 대해 실질적인 통제권을 갖지 못한다. 개인정보 유출은 명백히 관리 권한을 가진 주체의 통제 실패에서 비롯된 문제라는 것이다.
개인정보보호위원회는 반복적이고 중대한 개인정보 유출 사고에 대해 제재 수위를 대폭 높이는 방안을 공식화했다. 개인정보보호위원회는 12일 정부세종청사에서 열린 대통령 업무보고를 통해 ‘개보위 업무 추진계획’을 발표하며, 징벌적 과징금 신설과 단체소송 제도 강화 등을 핵심 과제로 제시했다. (사진 = 픽사베이 제공)
책임은 기업에 있다
이 같은 문제의식은 최근 정부 정책 방향에서도 확인된다. 개인정보보호위원회는 반복적이고 중대한 개인정보 유출 사고에 대해 제재 수위를 대폭 높이는 방안을 공식화했다. 개인정보보호위원회는 12일 정부세종청사에서 열린 대통령 업무보고를 통해 ‘개보위 업무 추진계획’을 발표하며, 징벌적 과징금 신설과 단체소송 제도 강화 등을 핵심 과제로 제시했다.
계획에 따르면 반복적·중대한 개인정보 보호법 위반 행위에 대해서는 매출액의 최대 10%를 과징금으로 부과하는 징벌적 과징금 특례가 도입된다. 또 집단소송 요건에 ‘손해배상’을 명시적으로 추가해, 개인정보 유출 사고로 발생한 국민 피해가 실제 보상으로 이어지도록 제도를 보완한다는 방침이다.
이는 A와 B처럼 개인정보 유출로 직접적·간접적 피해를 입은 이용자들이 개별 입증 부담 없이 구제받을 수 있도록 하겠다는 취지다. 지금까지 개인정보 유출 사고는 발생했지만, 피해 회복은 개인의 몫으로 남는 경우가 적지 않았다.
기업의 관리 책임을 사전에 강화하는 장치도 포함됐다. 최근 실효성 논란이 제기됐던 정보보호 및 개인정보 보호 관리체계(ISMS-P) 인증에는 핵심 항목 미달 시 심사를 중단하는 ‘예비 심사’ 제도가 도입된다. 중대하거나 반복적인 법 위반이 확인될 경우 인증 취소 등 사후 관리도 강화된다. 다만 개인정보 보호 투자를 적극적으로 수행한 기업에 대해서는 과징금 감경 등 인센티브도 함께 마련된다.
개보위는 기업 대표에게 최종 개인정보 보호 책임을 지도록 하는 법제화와 함께 개인정보보호책임자(CPO) 지정 신고제 도입도 추진한다. 개인정보 보호를 일부 부서의 기술 문제로 두지 않고, 경영 책임의 영역으로 끌어올리겠다는 의미다.
선제적 예방과 점검도 확대된다. 민간 영역에서는 유통·플랫폼 등 대규모·민감 개인정보를 처리하는 분야를 중심으로 사전 실태 점검이 강화된다. 중소·영세기업에서 사고가 발생했을 경우에는 신속한 기술 지원과 함께 즉시 시정 시 처분 부담을 완화하는 방식도 병행된다. 공공 부문에서는 개인정보 보호 수준 평가에서 유출 사고에 대한 패널티가 확대되고, 주요 공공 시스템의 취약점 점검 의무가 강화된다.
인공지능 전환 시대를 고려한 정책도 포함됐다. 가명 처리 역량이 부족한 공공기관을 대상으로 ‘가명 처리 원스톱 지원체계’가 운영되고, AI 프라이버시 민·관 정책협의회를 중심으로 데이터 처리 가이드라인이 마련된다. 딥페이크 등 AI 합성 콘텐츠 악용 범죄에 대응하기 위해 삭제 요구권과 사업자의 조치 의무, 개인정보 합성·변조·유통 금지 규정도 신설될 예정이다.
국민 생활과 밀접한 영역에 대한 보호도 강화된다. IP 카메라 등 주요 시설 내 영상기기에 대한 보안 인증 의무화, 로봇청소기·키오스크 같은 생활밀착형 스마트기기에 ‘개인정보 보호를 고려한 설계(PbD) 인증제’ 확산이 대표적이다. 이는 A와 B의 일상 속 기기들이 또 다른 개인정보 유출 통로가 되는 것을 막기 위한 조치다.
아울러 개인정보 유출로 부과된 과징금이 국민 피해 회복에 사용될 수 있도록 ‘개인정보 피해복구 지원 기금(가칭)’을 신설하고, 기업이 자발적으로 시정 방안을 제시하면 신속한 피해 회복을 유도하는 ‘피해복구형 동의의결 제도’도 도입된다. 국외 이전 데이터가 늘어나는 현실을 반영해 대규모 개인정보 국외 이전 시 기업이 스스로 위험성을 평가하는 ‘국외 이전 영향 평가제’와 인수·합병 시 국외 이전 사전심사제도 시행된다.
송경희 개인정보보호위원장은 “개인정보 보호 체계를 근본적으로 전환해 국민이 안심하고 신뢰할 수 있는 AI 융합 사회를 구축하겠다”고 밝혔다.
결국 A와 B의 하루를 둘러싼 문제는 이제 선택의 문제가 됐다. 국회와 정부가 제도를 정비하는 사이, 기업은 더 이상 개인정보 유출을 불가항력적 사고로만 설명하기 어려워졌다. 개인정보가 기업의 자산이자 경쟁력인 만큼, 그에 상응하는 사회적 책임 역시 피할 수 없게 된 것이다.
