지난 한 해 잇따랐던 대규모 개인정보 유출사태는 온 국민을 불안과 불편에 빠뜨렸다. 2324만명의 고객정보가 유출된 SK텔레콤부터 전 국민의 약 65%에 달하는 3370만명의 구매 내역이 유출된 쿠팡, 그리고 롯데카드와 KT·LG유플러스까지 보안 사고의 파고는 업종을 가리지 않았다. 유출 규모를 단순 합산해도 사실상 대한민국 경제활동 인구 대부분이 피해 영향권에 들어갔다고 해도 과언이 아니다.

유출기업·기관에 대한 제재는 사고의 규모와 빈도에 비례해 늘고 있다. 이양수 국민의힘 의원실이 개인정보보호위원회로부터 제출받은 자료에 따르면 최근 5년간 개인정보 유출로 부과된 과징금 규모는 2021년 약 15억원 수준에서 2025년 약 1580억원으로 100배 이상 폭증했다. 유출 건수 역시 누적 1억건을 훌쩍 넘어서며 매년 역대 최고치를 경신 중이다.

올해 들어 관계부처들은 제도 개선에 속도를 내는 모습이다. 제재의 실효성을 높이고 점검망을 촘촘히 하는 게 골자다. 1000만명 이상의 대규모 유출이나 반복적 법 위반에 대해 기업 전체 매출액의 최대 10%까지 징벌적 과징금을 부과할 수 있는 근거를 마련하고, 유출 ‘가능성’만 있어도 정보주체에게 알리도록 법을 개정했다. 개인정보보호관리체계(ISMS-P) 인증 의무화 대상도 확대됐다. 그간 제대로 보장받지 못했던 유출 피해자들의 권리를 생각하면 엉성했던 규제 시스템을 바로잡는 일은 불가피하다.

다만 사후제재에 치중하는 ‘엄벌주의’만으로는 사태의 반복을 막기에 어려울 것이라는 지적도 귀기울일 필요가 있어 보인다. 유출기업·기관이 사고 후 매를 맞는 것만으로는 사용자의 실질적인 피해가 복구되지 않는다.

전문가들은 초점을 ‘사전 예방’으로 이어가야 한다고 입을 모은다. 기업이 보안을 비용이 아닌 생존을 위한 필수 투자로 인식하게 만드는 유인책이 필요하다는 지적이다. 개인정보 사전예방 대응을 위해 세제혜택을 마련해 지원하는 방안, 사후제재로 발생한 재원을 피해구제 및 예방적 감독역량 강화에 재투자하는 ‘개인정보 보호기금’을 설치하는 방안 등이 거론된다.

정보보호 현장에서는 관계부처마다 요구하는 점검·평가 대응이 너무 많고 중복돼 실질적인 정보보호 활동에 집중하기 어렵다는 하소연도 들린다. 부처간 협업을 강화해 중복항목은 점검을 간소화해야 한다는 것이다.

정보보호 책임자가 주의의무를 다 한 경우, 사고 발생 시 부당한 불이익을 받지 않도록 하는 면책이 필요하다는 시각도 있다. 강력한 처벌은 필요조건이지만 충분조건이 될 수 없다. 유출사고 때마다 ‘푸닥거리’만 벌여서는 안전한 삶을 회복할 수 없다.

이재걸 기획특집팀 기자