사이버 공격이 고도화되고 잦아지면서 각국의 개인정보보호법이 강화되고 있다. 특히 유럽의 강력한 개인정보보호법(GDPR)에 맞춰 개인정보 유출 기업에 대해 과징금을 강하게 부과하는 추세다.
유럽 개인정보보호법(GDPR)은 개인정보 보호 위반 행위에 대해, 최대 2천만 유로(약 275억원) 혹은 전 세계 연간 매출의 4% 중 더 많은 금액을 과징금으로 산정한다. GDPR은 EU 내에 있는 기업·국가만을 대상으로 하지 않고, EU 시민 또는 기업에 제품, 서비스를 판매할 때도 적용돼 강력한 개인정보보호법으로 불린다.
최근 호주는 GDPR의 과징금 처벌과 유사한 수준의 개인정보보호법 개정안을 승인했다. 기존에는 데이터 유출 시 과징금 상한액이 222만 호주달러(약 20억원)였던 반면, 이번 개정안을 통해 5천만 호주달러(약 445억원)로 늘어났다.
개정된 호주의 개인정보보호법에 따르면 과징금 상한액은 ▲5천만 호주달러 또는 ▲정보 오용을 통해 얻은 이익의 3배 ▲해당 기간 기업의 조정된 매출액의 30% 중 가장 큰 금액으로 정해진다.
호주의 이런 조치 뒤에는 최근 발생한 대량의 데이터 유출이 있다. 호주 최대 의료보험사인 메디뱅크(Medibank)는 지난 10월 사이버 공격을 당해 970만명의 개인정보가 유출됐다.
메디뱅크를 공격한 해커는 지난 1일 해당 개인정보를 다크웹에 공개했다. 이 해커는 지난 10월에도 개인정보를 다크웹에 공개하며, 데이터 반환을 조건으로 메디뱅크에 몸값 지불을 요구한 것으로 알려졌다. 하지만 메디뱅크는 사이버 범죄 전문가들의 조언을 받아, 몸값을 지불해도 고객 데이터의 반환을 보장하고 공개되는 것을 막을 가능성은 제한적이며 오히려 역효과를 낼 수 있다고 판단해 이를 거부했다고 밝혔다.
이에 앞서 지난 9월에는 호주 2위 통신사인 옵터스(Optus)가 사이버 공격을 당해 호주 인구의 약 40%인 1천100만명의 개인정보가 유출되기도 했다. 개인정보에는 이름, 생년월일, 집 주소, 전화 및 이메일 연락처, 운전면허증 번호 등이 포함됐다.
호주 정보는 해당 개인정보 유출 사건을 두고 "전례 없는 일"이라며 "옵터스가 민감한 데이터가 도난당할 수 있게 효과적으로 창을 열어뒀다"고 비난했다.
이런 대량의 데이터 유출을 목표로 한 사이버 공격은 호주뿐 아니라 전 세계의 여러 기업을 대상으로 일어나고 있다.
지난 3월에는 남미 기반 해커집단인 랩서스(Lapsus$)가 190GB에 달하는 삼성전자의 소스코드를 탈취하기도 했다. 이들은 삼성전자뿐 아니라 LG전자와 마이크로소프트의 소스코드도 탈취했다고 밝혔다.
해킹 외에도 기업들이 이용자 동의 없이 개인정보를 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보보호법을 위반하는 행위에 대해서도 제재가 강화되고 있다.
우리나라 개인정보보호위원회는 지난 9월 구글과 메타에게 개인정보 보호 위반행위에 대해 시정명령과 함께 약 1천억원의 과징금을 부과했다.
또한 개인정보 보호 위반행위에 대한 경제적 제재를 강화하기 위한 개인정보보호법 2차 개정안은 최근 정무위원회 법안소위를 통과했다.
관련기사
- 호주, 개인정보 유출 기업에 최대 5천만 달러 부과한다2022.12.02
- '개인정보 보호법' 어떻게 바뀌나…산업계 의견 일부 반영2022.12.01
- 개인정보위, 개인정보보호 위반 2개 사업자 제재2022.09.28
- 'n번방' 초래한 지자체 개인정보 부실 관리…조사하니 무더기 적발2022.09.14
기존 과징금 상한액은 '위반행위 관련' 매출액의 3%였으나, 개정되는 법안에서는 '전체 매출액'의 3%로 산정한다. 단, 산업계의 요구를 받아들여 '위반행위와 관련 없는 매출액'은 제외하기로 했다.
개인정보위는 기업이 '위반행위와 관련 없다는' 입증을 못할 시에는 총매출에서 과징금이 산정돼, 법의 실효성이 높아지고 쟁송도 줄어들 것으로 기대했다.