대형 사고가 ‘뉴스 거리’조차 안 되는 나라

한국에서 대형 개인정보 유출 사고는 이제 놀라운 사건이 아니라 일상에 가깝다. 최근 쿠팡에서 3,370만 명의 고객 정보가 빠져나간 사실이 드러났다. 이름, 전화번호, 주소 등 생활밀착형 정보가 통째로 새나갔지만, 국민 정서는 “또야?”에 가깝다.

쿠팡은 2020년 이후 이미 세 차례 개인정보 노출·유출 사고로 약 16억 원 안팎의 과징금·과태료 제재를 받은 전력이 있다. 이번 사고까지 합치면 네 번째 유출이다. 사고가 반복돼도 사업은 커지고, 서비스는 그대로 유지된다. 소비자에게 남는 것은 “어디까지 털렸을까” 하는 막연한 불안뿐이다.

통신 1위 사업자인 SK텔레콤도 예외가 아니었다. 올해 4월 발견된 대규모 유출 사건으로 2,700만 명 안팎의 가입자 정보가 노출됐고, 개인정보보호위원회(PIPC)는 1,340억 원대의 과징금을 부과했다. 국내에서 단일 사건 기준 최대 제재였다.

여기에 여름철 롯데카드, 각종 핀테크·결제 업체 등까지 줄줄이 사고 목록에 이름을 올렸다. 올 한 해만 놓고 봐도 한국의 ‘데이터 유출 지도’는 이미 포화 상태다.

그럼에도 기업이 체감하는 압박은 의외로 크지 않다. 그 이유는 간단하다. 법 조문은 화려하지만, 실제 처벌은 여전히 약하기 때문이다.

법은 “세계 최고 수준”인데… 현실은 ‘솜방망이’

한국의 개인정보보호법(PIPA)은 해외 전문가들이 “세계에서 가장 엄격한 법 중 하나”라고 평가할 정도로 조문 자체는 강력하다. 데이터 보호를 전담하는 개인정보보호위원회(PIPC)가 설치돼 있고, 위원회는 시정명령, 과징금, 형사고발까지 한 손에 쥐고 있다.

2023년 개정으로 제재 수위는 더 높아졌다. 온라인 사업자에만 적용되던 ‘매출 연동 과징금’이 오프라인을 포함한 모든 데이터처리자에게 확대됐고, 과징금 상한은 “위반 행위 관련 매출의 3%”에서 “총매출의 3%”로 넓어졌다. 법상으로만 보면 유럽연합(EU)의 GDPR 못지않은 강도다.

그러나 문제는 “상한선”이 아니라 “실제로 얼마를 때리느냐”에 있다. 법은 엄격해졌지만, 집행은 여전히 보수적이고, 기업 입장에선 “관리 가능한 비용”에 머무르는 경우가 많다.

5년간 8,854만 건 새고, 건당 1,000원 벌금

숫자는 더 적나라하다. 최근 5년간 국내에서 유출된 개인정보 건수는 8,854만 건에 달한다는 분석이 나와 있다. 그 사이 규제당국이 부과한 과징금과 과태료를 모두 합산해 나눠보면, 기록 한 건당 평균 제재액은 약 1,000원 수준에 그친다.

SK텔레콤 사례만 보더라도 2,700만 명이 피해를 입고 1,340억 원 안팎의 과징금을 맞았다. 1인당으로 환산하면 대략 5,000원 정도다. 이번 쿠팡 유출(3,370만 명)이 비슷한 수준으로 제재된다고 가정해도, 회사 입장에서는 “한 번 잘못하면 고객 한 명당 몇 천 원”의 위험을 떠안는 셈이다.

여기에 벌금·과징금은 대부분 일회성이다. 형사 처벌이 뒤따르는 경우는 극히 드물고, 경영진 개인이 책임을 지는 사례 역시 거의 없다. 2020년 한 차례, CPO(개인정보보호책임자)가 회사와 함께 재판에 서서 CPO 본인은 1,000만 원 벌금을, 회사는 수억 원대 제재를 선고받은 판결이 화제가 됐을 정도다.

반면 피해자 개인이 받을 수 있는 ‘법정손해배상’은 최대 1인당 300만 원이다. 하지만 이마저도 소송을 제기해야 하고, 입증 부담과 시간·비용을 생각하면 실제로 배상을 받는 사례는 많지 않다.

결국 “데이터를 잃으면 기업이 망한다”는 공포가 아니라, “한 번 털리면 몇 백억 내고 끝”이라는 학습 효과가 쌓이고 있는 셈이다.

EU는 수천억, 미국은 ‘수조 원 합의’… 억·조 단위 제재의 격차

같은 데이터 유출이라도 유럽과 미국에서는 차원이 다르다.

EU는 GDPR 시행 이후 거대 IT 기업에 천문학적인 제재를 가해 왔다. 아마존은 룩셈부르크 규제당국으로부터 7억 4,600만 유로(약 8,000억 원)에 달하는 과징금을 부과받았고, 메타(페이스북)는 2023년 EU–미국 간 데이터 이전 위반 등으로 총 12억 유로(약 1조 7천억 원) 기록적 제재를 받았다. 최근에는 틱톡이 유럽 이용자 데이터를 중국으로 이전한 문제로 5억 3,000만 유로(약 6천억 원) 벌금을 맞았다.

미국은 연방 단일법은 없지만, 주(州) 차원의 개인정보보호법과 소비자보호법을 통해 강한 압박을 가한다. 캘리포니아 CCPA는 위반 건당 수천 달러대의 행정·민사 벌금을 허용하고, 텍사스는 구글의 위치·검색·생체정보 추적 문제로 10억 달러가 넘는 합의에 이르기도 했다.

핵심은 “기업이 느끼는 리스크의 질감”이다. 유럽과 미국에서는 대형 위반이 발생하면 수천억~수조 원대 제재가 언제든 가능하다는 인식이 굳어졌다. 여기에 데이터 이전 금지, 서비스 일부 중단 같은 비재무적 제재까지 뒤따른다.

반면 한국에서는 SK텔레콤 사례처럼 예외적인 초대형 과징금 몇 건을 빼면, 대다수 사건의 제재는 “기업이 감내 가능한 수준”에 머문다. 그 차이가 곧 ‘사고 빈도’의 차이로 이어진다.

“보안 투자 vs. 과징금” 계산해 보면 답이 보인다

기업 입장에서 개인정보 보호는 비용이다. 보안 인력 확충, 시스템 이중화, 암호화와 모니터링 솔루션 도입, 침해사고 대응 훈련까지 만만치 않은 돈이 들어간다.

반대로 사고가 터졌을 때의 비용은 어떻게 계산될까. 한국의 현실을 단순화하면 다음과 같은 셈법이 가능하다.

• 당국 과징금·과태료: 대형 사고가 아니면 수억~수십억 원 선에서 마무리되는 경우가 많다. 일부 글로벌 플랫폼이나 통신·금융사를 제외하면 ‘매출 3%’ 상한에 근접하는 사례는 드물다.

• 민사 배상: 피해자들이 집단소송을 제기하더라도, 1인당 수십만~수백만 원 수준에서 보상이 합의되는 경우가 많고, 소송 자체가 드물다.

• 평판 리스크: 여론이 들끓어도 시간이 지나면 잊힌다. 쿠팡, 대형 카드사, 통신사 모두 개인정보 유출 이후에도 시장 지위에는 큰 변화가 없었다.

이렇게 놓고 보면, 일부 기업의 머릿속에는 위험한 계산식이 떠오른다.
“수년에 한 번 올지 모를 사고를 위해 매년 수백억씩 보안에 투자할 것인가, 아니면 사고 날 때마다 과징금 내고 사후 대응으로 버틸 것인가.”

규제의 존재 이유는 이 계산식의 방향을 바꾸는 데 있다. 그러나 한국의 처벌 구조는 여전히 “보안 투자 ＜ 사고 시 비용”이라는 유혹을 완전히 꺾지 못하고 있다.

왜 한국의 제재는 실효성이 떨어질까

제도 자체가 없어서가 아니라, 설계와 운용에 구조적 한계가 있다.

첫째, 실제 과징금 수준이 상한선에 비해 낮다. 법은 “총매출의 3%까지”를 허용하지만, 현실에서는 ‘적정 비율’을 산정하는 과정에서 완화 사유가 대거 반영된다. 사건의 고의성, 사후 조치, 회사의 협조 여부 등이 고려되며, 결과적으로 기업이 감당 가능한 수준에서 마무리되는 경우가 많다.

둘째, 형사처벌이 거의 작동하지 않는다. 법은 최대 10년 징역, 1억 원 이하 벌금까지 규정하고 있지만, 실제로 경영진이나 책임자가 실형을 선고받는 사례는 극히 드물다. 대부분은 행정제재와 벌금에서 끝난다.

셋째, 집단소송 제도와 징벌적 손해배상이 실질적인 위협으로 작동하지 않는다. 법정손해배상 상한(1인당 300만 원)과 징벌배상 3배 규정이 도입돼 있지만, 소송 비용과 소요 시간을 감안하면 피해자들이 적극적으로 나설 유인이 크지 않다.

넷째, 규제기관의 인력·예산과 조사 역량도 문제다. PIPC는 중앙 통합 규제기구지만, EU나 미국 주요 주(州) 당국에 비하면 인력·예산이 넉넉하다고 보기 어렵다. 그 사이 기업의 데이터 처리 규모와 복잡성은 기하급수적으로 늘었다.

무엇을 바꿔야 하나: ‘법전의 엄격함’에서 ‘현실의 두려움’으로

해외와의 격차를 줄이기 위해서는 이제 “엄격한 법 조문”이 아니라 “실제 기업이 두려워하는 처벌”이 필요하다. 방향은 비교적 분명하다.

첫째, 대형 사고에 대해서는 매출 연동 과징금을 적극적으로 적용해야 한다. SK텔레콤 사례처럼 예외적인 중징계가 아니라, 사람 수·데이터 민감도·과실 정도가 큰 사건에서는 원칙적으로 매출 비율에 따라 과징금을 부과하는 기준을 명확히 해야 한다.

둘째, 경영진과 이사회의 책임을 명확히 해야 한다. 개인정보보호책임자(CPO)에게만 책임을 돌리는 구조로는 기업 문화가 바뀌기 어렵다. 일정 규모 이상 기업에서는 이사회 차원의 데이터 보호 위원회 설치, 개인정보 사고 시 경영진 제재(보수 환수, 직무 정지 등)를 제도화할 필요가 있다.

셋째, 집단소송과 징벌배상의 실효성을 높여야 한다. 피해자들이 손쉽게 참여할 수 있는 집단소송 절차, 소송 비용을 줄이는 공익 소송 지원, 반복 위반 기업에 대한 손해액 3배 상한의 상향 등도 검토할 만하다.

넷째, 규제기관의 역량을 키워야 한다. 캘리포니아가 전담 기관을 통해 사전 예고–조사–전형적 합의 패턴을 만들고, 텍사스가 거대 테크 기업을 상대로 10억 달러 단위 합의를 이끌어내는 데는 그만한 인력과 예산, 정치적 의지가 뒷받침되고 있다. 한국의 개인정보보호위원회 역시 그 수준에 맞는 권한과 자원을 갖춰야 한다.

“털려도 괜찮은 나라”에서 “털리면 큰일 나는 나라”로

한국의 개인정보보호법은 이미 “글로벌 최고 수준”이라는 평가를 받는다. 그러나 지금 국민이 체감하는 현실은 그와 거리가 멀다. 쿠팡, 통신사, 카드사, 핀테크까지, 생활 속에서 쓰는 거의 모든 서비스에서 한번쯤 내 정보가 새나갔을 가능성이 농담이 아니라 현실이 된 나라다.

“한국 회사들에게 개인정보 털리는 사고가 빈번한 것은 처벌이 약해서다”라는 통념은, 불편하지만 상당 부분 사실에 가깝다. 법전의 글자는 엄격해졌지만, 기업이 진짜로 두려워할 만한 수준의 제재는 아직 충분히 작동하지 않고 있다.

해답은 어렵지 않다. 법에 적힌 최대치를 현실에서 적극적으로 쓰고, 경영진이 책임을 지게 만들고, 피해자가 실질적인 배상을 받도록 제도를 손보는 일이다.

개인정보 유출이 “또 터졌네” 수준의 해프닝이 아니라, 기업과 경영진에게 치명적인 위협이 되는 순간, 한국의 데이터 유출 지도는 서서히 색이 옅어질 것이다.