[디지털프리즘] 개인정보 침해, 처벌이 능사인가

개인정보는 '양날의 검'이다. 예민한 사적 정보인 만큼 프라이버시 침해와 범죄 예방을 위해 철저히 보호해야한다. 그렇다고 마냥 규제 일변도로 옮싹달싹 못하게 하면부가가치와 편익 창출에 제약을 받게된다.

현재까지 개인정보는 전자인 보호적 관점이 지배한다. 각종 해킹 등 침해사고에서 1차적 탈취 대상이어서다. 해킹기술이 고도화됨에따라 고객의 개인정보 활용을 위임받은 기업의 관리책임도 폭증했다. 더욱이 주무부처인 개인정보보호위원회는 올들어 법까지 개정해가며 기업의 책임을 엄하게 묻고 있다. 올초 국회를 통과한 개정 개인정보보호법은 개인정보 침해사고를 일으킨 기업에 과징금 상한액을 위반행위 관련 매출의 3% 이하에서 전체 매출액의 3% 이하로 상향했다.

한편에선 개인정보보호법 적용과 처벌에 있어 신중론도 제기된다. 관련 매출의 3%도 상당한데, 전체 매출액 3%를 과징금으로 때려맞으면 버틸 기업이 없어서다. 단 한번의 실수로 기업을 아예 문 닫게하거나 회생 불가능한 수준의 치명타를 입히는 것은 상식적이지 않다. 실제 개인정보위 출범이후 상당액의 과징금 처분이 이어지면서 기업들은 공포감마저 느끼고 있다. 인터넷 플랫폼이나 이커머스, 통신기업 등 사실상 전국민의 데이터를 보유한 기업들의 우려는 더하다. 수많은 협력기업과 온오프라인 채널, 대리점을 거느려 잠재적 개인정보 취약점이 많아서다. 고의성이 없고 고객에 직접적인 피해가 발생하지 않았다 하더라도 처벌을 피해나가기 어렵다는 것이다.

침해사고를 막기위한 매뉴얼이나 시스템을 철저히 점검해야하는 것은 당연하다. 하지만 사이버 공격의 예봉 역시 날카로워지는게 현실이다. 게다가 생성AI의 등장으로 인해 해킹기법은 새로운 차원으로 진화하고 있다. 자녀나 부모의 목소리, 심지어 얼굴까지 AI로 위조해 보이스피싱에 사용한다. 이메일을 통째 복제해 상대방을 속이는 것은 예사다. 기상천외한 수법들이 등장하면서 해킹당한 사실 조차 모르고 지나간 경우가 부지기수다. 어떻게 막아야할지, 어디까지가 충분한 보호 수준인지 가늠하기 어렵다는 볼멘소리가 나온다.

이에 일부 기업들은 우리도 어찌보면 피해자인데 고객손실 보상에다 과징금 철퇴까지 맞는 것은 억울하다고 하소연한다. 물론 해외 빅테크의 사례처럼 고객정보를 무단으로 이윤 창출에 활용하려는 식의 고의적 행위는 엄벌해야 마땅하다. 반면 외부에서 이뤄진 불명의 해킹사고에 대해서는 기업의 소명을 충분히 살피고 시시비비를 가려 신중히 처분해야하는 이유다. 당장 업계에서는 LG유플러스 사건 처리에 주목한다. LG유플러스의 경우 정부 특별조사단의 조사결과, 29만건의 고객 개인정보가 유출됐다. 고객인증DB의 암호설정이 부실했고 비정상행위를 탐지할 시스템이 부재한 것들이 원인으로 지목됐다. 이에대한 도의적 책임과 고객 보상은 LG유플러스가 감당해야할 몫이다.

다만 LG유플러스건의 경우 유출경로나 시점이 명확하게 밝혀지지 않았다. 그동안 정보보호를 위해 자체 실시한 취약점 진단 보고서를 근거로 고객인증 시스템을 유출 경로로 추정했을 뿐이다. 유출경로를 알수 없으니 무슨 시스템이 취약했는지도 어떤 보호조치가 미비했는지 정확히 파악되지 않은 상태다. 앞서 유출경로가 불명확한 사건에서 과징금을 부과한 선례는 없었다. 그동안은 유출과 명백히 관련성이 있는 보호조치 위반만 처분사유로 판단했다. 회사는 탈취사고 이후 대국민 사과와 함께 1000억원 규모의 정보보호 투자계획을 포함한 전사적 차원의 재발방지 조치에 나섰다. 그럼에도 최근 처벌강화 분위기 속에 과징금 철퇴를 맞을까 전전긍긍한다.

개인정보위는 최근 민관협력형 자율규제와 마이데이터 활성화에 나섰다. 기업들의 자발적 보호조치에 기반한 개인정보 활용을 유도하는 포석이라는 점에서 긍정적이다. 다가올 데이터 경제 시대에 브레이크 만큼 중요한 것은 계도와 유연함이다.

조성훈 정보미디어과학부장