2025년은 개인정보 유출 사고가 일상화된 해였다. 4월 SK텔레콤 유심 정보 유출을 시작으로 통신, 이커머스, 금융 전반에서 대형 사고가 잇따랐다. 연말에는 쿠팡에서 3370만 명 규모의 개인정보가 유출되며 정점을 찍었다. 한국 사회에서 개인정보가 사실상 ‘공공재’처럼 취급되고 있다는 자조가 나오는 배경이다.
한국에서 개인정보 유출이 반복되는 구조적 원인은 명확하다. IT 의존도가 높고, 통신·포털·이커머스·금융 서비스가 소수 기업에 집중돼 있다. 해커 입장에서는 한 기업만 뚫어도 수백만, 수천만 명의 정보를 한꺼번에 확보할 수 있는 환경이다. 실제로 최근 수년간 발생한 개인정보 유출의 대부분은 상위 소수 기업에 집중됐다.
보안 수준이 특별히 뒤처졌다고 보기도 어렵다. 문제는 ‘집중’이다. 미국이나 유럽은 서비스가 분산돼 있어 단일 기업 해킹으로 얻을 수 있는 정보량이 제한적이지만, 한국은 구조적으로 대량 유출이 가능하다. 이 점이 해외 해커들에게 한국 기업을 매력적인 공격 대상으로 만든다.
처벌 수위 역시 논란의 핵심이다. 한국의 개인정보 유출 최고 과징금은 151억 원 수준에 그친다. 미국에서는 수조 원대, 유럽에서도 조 단위 과징금이 부과된 전례가 있다. 국내에서는 전체 유출 건수 대비 과징금과 과태료를 환산하면 1건당 수천 원 수준에 불과하다.
이 같은 격차에는 제도적 역사도 작용한다. 2011년 이전까지 한국에는 개인정보보호법조차 없었다. 2008년 옥션 사건처럼 수천만 명의 정보가 유출돼도 과징금이 부과되지 않은 사례가 대표적이다. 이후 법 개정을 거쳐 과징금 산정 기준은 강화됐지만, 실제 처벌은 여전히 낮다는 평가가 지배적이다.
민사상 손해배상도 문제다. 대형 유출 사건이 발생해도 피해자들이 받는 배상액은 1인당 10만 원 수준에 머물러 왔다. 법상 손해배상 상한은 수백만 원까지 확대됐지만, 정신적 피해를 입증하기 어렵다는 이유로 판결은 거의 변하지 않았다. 이른바 ‘10만 원 공식’이 굳어진 셈이다.
최근 법 개정으로 과징금 상한과 징벌적 요소는 일부 강화됐지만, 실효성에는 의문이 남는다. 개인정보가 한 기업에 과도하게 집중되는 구조를 바꾸지 않는 한, 대형 유출은 반복될 가능성이 크다. 처벌과 배상 역시 억지력이 되기에는 부족하다는 지적이 이어진다.
개인정보 유출은 단순한 기업 사고를 넘어 사회적 위험으로 번지고 있다. 범죄 악용 가능성과 상시적 불안은 개인의 몫으로 남는다. 해커에게 ‘보물 상자’로 보이는 구조를 언제까지 방치할 것인지, 제도 전반에 대한 근본적 점검이 요구되고 있다.
댓글 남기기