[박순장 칼럼] 개인정보 유출, 기업은 면죄부·국민은 희생양

2025-09-22     박순장 칼럼니스트
▲ 롯데카드 대표이사와 임직원들이 고객정보 유출사고에 대한 고객 사과를 하고 있다. ⓒ 연합뉴스

대한민국에서 개인정보 유출은 이제 사고가 아니라 반복되며 '관행'이 되었다. 매년, 아니 매 분기마다 수백만·수천만건의 개인정보가 새어 나가며 소비자들의 불안은 점점 더 커지고 있다.

금융, 통신, 온라인 쇼핑, 교육, 구직 플랫폼 등 국민 생활 전반을 아우르는 거의 모든 산업에서 개인정보가 끊임없이 유출되며 연례 행사처럼 되었다.

그러나 정작 기업들은 안일하고, 뻔뻔하며, 관리 감독 기관의 공공성 부재로 인하여 무능하다. 소비자들은 값싼 상품권 몇 장을 쥐어주며 분노를 삼키는 현실에 내몰려 있다. 이대로라면 대한민국은 세계 속에서 '개인정보 유출의 천국', '정보 무법지대'라는 오명을 벗지 못할 것이다.

올해만 해도 GS샵, 올리브영, SK텔레콤, 예스24, 롯데카드 등 굵직한 기업들이 줄줄이 개인정보를 흘려보냈다.

GS샵은 8개월 동안 158만건의 개인정보가 유출됐지만 눈치조차 채지 못했다. 올

리브영은 해킹 공격으로 고객 주소와 휴대전화번호가 털렸고, SK텔레콤은 무려 2696만건의 유심 정보가 빠져나갔다. 이는 국민 절반이 넘는 규모다.

예스24는 랜섬웨어 공격으로 2000만명 회원의 정보가 위협받았고, 롯데카드는 297만명의 고객 카드번호와 유효기간, CVC까지 고스란히 노출됐다. 금융 거래의 최후 보루라 할 수 있는 신용정보조차 맨몸처럼 방치된 셈이다.

▲ 유영상(오른쪽 두 번째) SK텔레콤 대표이사를 비롯한 경영진이 사이버 침해 관련 일일 브리핑에서 유심 정보 해킹 사고와 관련해 고개 숙여 사과하고 있다. ⓒ 세이프타임즈

문제는 기업들의 태도다. 이러한 사고가 반복되는 가장 큰 원인은 기업들의 안일한 인식과 허술한 관리에 있다. 기업들은 고객들의 개인정보로 이윤을 창출하면서도 그 정보를 너무나 가볍게 여기고 있다.

개인정보 보호를 위한 예산이나 전문 인력 배치는 매출이나 영업 이익에 비해 턱없이 부족한 실정이다. 한 번 유출된 개인정보는 회복이 불가능하며, 사실상 정보 주체가 사망하거나 모든 정보를 바꾸지 않는 한 불가능한 일이다. 그럼에도 기업들은 유출 사고를 마치 사업의 일부인 것처럼 인식하는 경향까지 보이고 있다.

더욱 심각한 것은 처벌이다. 수천만명의 피해자가 발생해도 기업은 과징금 몇 억원 내고 끝난다. 기업 입장에서는 보안 투자보다 벌금이 더 싸다.

그러니 '걸리면 벌금 내면 된다'는 계산법이 작동한다. 피해자는 돌이킬 수 없는 피해를 입었는데, 가해 기업은 아무렇지 않게 영업을 이어간다.

한 번 유출된 주민등록번호나 카드번호는 피해자가 죽기 전까지 위험이 사라지지 않는다. 이런 상황에서도 솜방망이 처벌에 그친다면, 기업이 개인정보를 제대로 지킬 이유가 없을 것이다.

따라서 징벌적 손해배상과 형사 처벌 강화가 시급하다. 개인정보를 대규모로 유출한 기업에는 영업 정지와 함께 매출의 일정 비율 이상을 과징금으로 부과해야 한다.

개인정보 보호를 게을리하면 기업 존립이 위태로워진다는 공포를 심어줘야 한다. 그래야만 기업이 개인정보를 비용이 아닌 '생존의 문제'로 인식할 것이다.

단속 권한도 없는 관리 감독 기관의 공공성 부재가 큰 문제로 지적된다. 개인정보보호의 모든 권한은 개인정보보호위원회가 가지고 있으면서, 현장에서의 실질적인 업무는 재단법인인 한국인터넷진흥원(KISA)이 맡고 있는 실정이다.

그러나 KISA는 정부 부처가 아닌 재단법인이다. 직원은 공무원이 아니고, 기관은 정부 출연금과 자체 사업 수익으로 굴러간다. 국가 핵심 보안 정책을 재단법인에 맡기는 것이 과연 정상인가. 공공성도 책임성도 담보되지 않은 구조 속에서 제대로 된 규제와 감독이 이뤄질 리 없다.

KISA는 현장에서 실질적인 집행을 하며 문제를 적발해도 단속 권한이 없다. 기업과 대등하게 맞서 싸워야 할 기관이 오히려 생존을 위해 눈치만 보는 현실, 이것이 오늘의 대한민국의 개인정보 보호의 현실이다. 하루빨리 KISA를 정부 직속 조직으로 전환해 강력한 단속 권한과 책임을 부여해야 한다.

▲ 전남 나주시에 있는 단속 권한이 없는 한국인터넷진흥원. ⓒ 한국인터넷진흥원 

해외와 비교하면 한국의 현실은 더욱 초라하다. 유럽연합(EU)은 GDPR을 통해 위반 기업에 매출액의 최대 4% 또는 2000만 유로 중 더 큰 금액을 벌금으로 부과한다.

실제로 구글과 메타는 수천억원대 벌금을 물었다. 미국 역시 개인정보 유출 통보 의무와 집단 소송 제도를 강화하며 기업을 압박한다.

반면 한국은 솜방망이 처벌과 무능한 감독 체계 속에서 국민의 개인정보를 마구잡이로 흘려보내고 있다. 'IT 강국'이라는 자부심이 무색하다.

AI시대 개인정보는 생명이며, 국가의 자산이다. 개인정보에 대한 허술한 관리 체계와 안일한 인식이 계속된다면 개인정보 유출은 어쩌면 당연한 일이 될지도 모른다.

유출이 반복되면 국민은 온라인 거래와 디지털 서비스 자체를 불신하게 되고, 새 정부가 인공지능 대전환(AX)을 통해 'AI 3강 도약'을 내세우지만, 개인정보 보호가 뒷받침되지 않는다면 이는 공허한 구호일 뿐이다.

따라서 정부와 국회는 더 이상 미뤄서는 안 된다. 징벌적 손해배상, 형사 처벌 강화, 감독 기관의 국가 조직화, 개인정보 보호 예산과 전문 인력 확충이 시급하다.

개인정보 보호가 국민의 안전과 직결된다는 엄중한 인식을 바탕으로 근본적 대책을 내놓아야 한다. 그것만이 유출의 악순환을 끊고, 기업이 개인정보를 존중하는 사회로 나아가는 길이다.

■ 박순장 칼럼니스트, 전 소비자주권시민회의 사무처장