“애가 맞고 왔는데 무조건 왜 맞았냐고 혼내기만 한다. 경위 먼저 자세히 파악하고 때린 사람도 혼내야 한다."
국가정보원 사상 첫 여성 3차장을 지낸 김선희 가천대 초빙교수가 기자를 만나면 늘 하는 말이다. 기업이 해킹 사고를 당하면 정부가 '기업 때리기'에만 몰두한다는 것이다. 엊그제 또 대형 보안사고가 터졌다. CJ ENM의 온라인동영상섭스(OTT) 티빙(TVING)에서 해킹으로 추정되는 개인정보유출 사태가 발생했다. 과기정통부가 이번 사고를 즉각 중대 침해사고로 판단해 민관합동조사단을 꾸렸고, 개인정보보호위원회(개인정보위)도 조사에 착수했다.
작년은 그야말로 '해킹 대란'이었다. 대규모 개인정보 유출 사고가 연이어 발생하며 온 나라가 난리였다. 국민 불안도 그만큼 컸고, 사고 재발 방지와 기업 책임 강화를 요구하는 목소리도 높았다. 정치권 역시 여야를 막론하고 과징금 상향 필요성을 언급했고, 결국 과징금 규모를 크게 높인 새 법령이 만들어졌다.
높은 과징금을 부과하는 것이 개인정보 유출 사고를 줄일 수 있을까. 안전한 대한민국 디지털 생태계를 구축하는데 과연 효력을 발휘할까. 올들어서도 개인정보 유출 사고는 이어지고 있고, AI시대를 맞아 해킹 기술도 어지러울만큼 빠르게 발전하고 있다. 와중에 지난 4월 7일 공개된 '미토스'는 'AI=보안'이라는 인식을 주며 해킹 공포를 낳고 있다. 방어는 수십, 수백명이 한다. 공격자는 '숨어있는 1인' 이거나 '소수'다. 당대 최고의 기술과 인프라를 투입해 방어망을 구축하더라도, 예상치 못한 신종 공격 기법까지 완벽히 선제 차단하는 것은 불가능하다.
해킹 사고 발생 원인을 기업의 보안 무관심이나 책임 방기만으로 설명할 수 없는 이유다. 물론 개인정보유출 사고를 일으킨 기업은 입이 열개라도 할 말이 없다. 그럼에도 현재의 '과징금 만능'으로 비쳐지는 정부 정책은 생각할 부분이 있다. 해킹으로 개인정보 유출 사고를 당한 기업 역시 사이버공격의 피해자다. 현 규제 정책은 이를 충분히 고려하지 않고 있다. 정보가 유출됐다는 결과에만 기대 기업의 ‘관리 소홀’만 문제 삼고 있다.
사고 발생 자체만을 이유로 천문학적인 책임을 묻는다면, 보안 투자를 독려하기는 커녕 자칫 기업의 혁신과 투자 의지를 위축시키는 역효과를 초래할 수 있다. 기업이 보안을 위해 예측 가능한 범위 내에서 합리적인 최선의 보호 조치를 하면 인센티브를 주는 제도가 뒤늦게나마 생긴 것은 다행이다.
개인정보 유출 사고에 대한 과징금 산정 기준은 너무 단순한 면이 있다. 매출액 산정 주요 기준을 유출된 정보 규모와 해당 정보가 이용된 서비스의 매출액으로 삼고 있다. 예를 들어 인터넷 쇼핑몰에서 고객 이름이 유출될 경우, 이름 정보가 쇼핑몰 판매 업무에 사용됐다는 이유만으로 해당 기업 전체 매출액이 과징금 산정의 기준이 될 수 있다. 이런 방식은 유출 데이터 '위험성'이나 '실질적 피해'를 제대로 반영하지 못한다.
개인을 식별할 수 있는 정보가 단순히 유출된 경우와 금융·생체정보와 같이 2차 피해로 이어질 가능성이 높은 민감정보가 유출된 사안을 동일 선상에서 평가하기 때문에 형평성 문제가 있다. 유출 데이터 유형과 위험도를 제재 수준에 직접적이고 체계적으로 반영하지 못하는 것이다. 이는 제재 합리성과 비례성을 충분히 담보하지 못한다는 문제가 있다.
주요 해외국은 어떨까. 유출 규모보다 유출 정보 유형과 2차 피해 가능성을 정밀히 따져 제재 수위를 결정한다. 영국이 좋은 예다. 2024년 7월 영국 정보위원회(ICO)는 약 4000만 명의 선거인 명부가 유출된 선거관리위원회에 대해 과징금이 아닌 '견책' 처분을 내렸다. 유출 정보가 성명과 주소 등 비교적 민감도가 낮은 정보였고, 실제 피해로 이어진 사례가 확인되지 않았다는 점을 고려했다.
미국 연방거래위원회(FTC)는 2017년 약 1억 4700만 명의 사회보장번호(SSN) 등 민감정보가 유출된 에퀴팩스(Equifax)에 대해 최대 4억 달러가 넘는 합의금을 부과했다. 핵심 민감정보에 대한 암호화 조치 미흡이라는 기업의 명백한 과실과 이로 인한 막대한 잠재적 피해 가능성을 엄중하게 평가한 결과다. 단순히 '얼마나 많은 정보가 유출됐는가'보다 '어떤 정보가, 어떤 경위로 유출됐고, 그로 인해 어떤 위험이 초래됐는 지'에 초점을 맞춘 것이다.
국내 기업의 경쟁력을 지키고 디지털 산업의 지속 가능한 성장을 도모하기 위해 이제는 글로벌 기준과 동떨어진 과도한 규제 체계에서 벗어나야 한다는 목소리가 높다. 위험성이 낮은 정보 유출 사고임에도 정부 조사가 장기간 이어지고 또 고액의 과징금을 부과한다면 기업은 서비스 혁신 대신 리스크 회피에 더 집중할 지 모른다. '구더기 무서워 장 못 담그는' 상황이 올 수 있는 것이다. 이의 부작용은 국내 기업에만 그치지 않는다. 외국 주요국에 없는 우리만의 '갈라파고스 규제'는 해외 유망 기업들의 국내 진출을 가로막는 장벽으로도 작용할 수 있다. 글로벌 시선과 동떨어진 과도한 과징금 기준은 한국 시장의 불확실성을 높이고 투자 매력도를 떨어뜨리는 것이다.
관련기사
- [기자수첩] SOOP 'AI페퍼스' 인수가 반가운 이유2026.05.19
- [기자수첩] K-반도체, 자본 영토 넓히고 기술 다양성 채워야2026.05.19
- [기자수첩] 제로트러스트 창시자의 따끔한 일침2026.05.17
- 이재명 정부 1년, 혁신성장정책 어땠나…성적표 매겼더니2026.06.05
대한민국은 AI와 디지털 대전환을 통한 새로운 도약의 기로에 서 있다. 과거와 다른 성장 문법이 필요하다. 해킹 사고 대응도 마찬가지다. 기업 처벌 만능주의에서 벗어나야 한다. 단순히 유출 규모나 매출액에 비례하는 징벌을 하는 방식이 아니라, 유출된 정보 민감도, 기업의 실질적인 방어 노력, 2차 피해 발생 여부 등을 종합적으로 고려해야 한다.
개인정보 보호는 결코 포기할 수 없는 가치다. 그러나 그 가치를 계속 지키려면 규제 역시 정교해야 한다. 기업이 예측 가능한 범위 내에서 보안 책임을 다하고, 사고 시에는 위험도와 과실 수준에 상응하는 합리적인 수준의 책임을 지는 구조를 확립해야 한다. 어쩌면 '뜨거운 얼음' 같은 개인정보보호와 AI 및 디지털 혁신이 함께 갈 수 있는 방안이다.
