신속 대응엔 수천억 원 철퇴, 은폐엔 관대한 처분…'성실 기업이 손해 보는' 규제 형평성 도마
개인정보보호위원회가 결혼정보회사 듀오에 과징금 11억9700만 원과 과태료 1320만 원을 부과하면서 규제 형평성 논란이 거세게 번지고 있다.
지난해 1월 정회원 42만 7464명의 민감 정보가 대량 유출됐음에도 1년 4개월 가까이 피해자 통지를 하지 않은 기업에 내린 처분 치고는 지나치게 가볍다는 비판이 업계 안팎에서 쏟아지고 있다.
특히 사고 직후 전면적인 자진 신고와 피해 통지, 대규모 보상안까지 내놓은 쿠팡과 SK텔레콤 사례와 견줄 때 '성실 대응이 오히려 불이익으로 돌아온 셈'이라는 지적이 설득력을 얻고 있다.
이번 듀오 유출 정보의 민감도는 국내 주요 개인정보 사고 가운데에서도 최상위권에 속한다. 이름·생년월일·휴대전화번호·주소 같은 기본 정보를 넘어 신장, 체중, 혈액형, 종교, 취미, 혼인경력, 형제관계, 장남·장녀 여부, 출신 학교명과 전공, 입학·졸업 연도, 입사 연월, 직장명까지 한 사람의 생애가 통째로 담긴 정보가 외부로 빠져나갔다.
개보위는 현행 법령상 직전 3개년 평균 매출액(약 413억 원)의 3% 이내에서 과징금을 매기는 규정을 적용한 뒤, 듀오가 '중기업'에 해당한다며 산정 금액에서 15%를 추가로 감경해줬다. 그 결과 과징금을 피해자 숫자로 나누면 1인당 3000원에도 미치지 않는다는 계산이 나오면서 여론의 반발은 더욱 거세지고 있다.
더 큰 문제는 사후 대처였다. 듀오는 유출 사실을 파악하고도 정당한 사유 없이 72시간 신고 기한을 넘겼고, 피해 회원에 대한 통지는 1년 반 가까이 사실상 이뤄지지 않았다. 여기에 법적 근거가 없는 주민등록번호까지 수집해 저장하고, 파기 기한(5년)이 지난 정보 29만 8566건을 방치한 사실까지 드러났다. 은폐에 가까운 소극적 대응이 명백히 확인됐음에도 제재 수위는 산업계의 예상치를 크게 밑돌았다.
반면 3370만 고객의 정보가 유출된 쿠팡은 사고 인지 직후 72시간 안에 유출 신고를 마무리하고, 지난해 11월 말과 12월 초 두 차례에 걸쳐 피해 이용자 전원에게 유출 사실을 직접 통지했다.
이어 전담 상담센터를 구축하고 1인당 5만 원 규모의 보상안을 발표했으며, 경영진 차원의 공개 사과와 함께 4차례의 국회 현안질의·청문회에도 응했다. 10곳이 넘는 정부 부처의 조사가 지난해 12월부터 현재까지 이어지고 있어 사고 발생 이후 반년 가까이 '현재진행형 사안'으로 남아 있다.
2300만 가입자 규모의 SK텔레콤 역시 사고 직후 이용자 통지와 3차에 걸친 정부 집중 조사를 수용했고, 거듭된 사과와 피해 조회 서비스, 보상 조치에도 불구하고 역대 최대인 1348억 원의 과징금을 감수해야 했다.
297만 명 규모 유출 사고를 겪은 롯데카드 또한 개보위 과징금 96억2000만 원에 더해 금융감독원으로부터 영업정지 4.5개월과 추가 과징금 50억 원의 사전통지까지 받아든 상태다.
업계에서는 이번 처분이 역설적 신호를 던졌다고 우려한다. 유출 사실을 신속하게 알리고 피해 구제에 적극 나선 기업일수록 국회 청문회, 집중 조사, 대규모 과징금, 장기 수사를 감내해야 하는 반면, 은폐와 지연이 확인된 기업은 매출액 기반의 기계적 산정과 중기업 감경 조항의 혜택까지 받으며 비교적 가벼운 제재로 마무리되는 구조가 반복되고 있기 때문이다.
개인정보의 민감도, 2차 피해 가능성, 사후 대응의 투명성 같은 실질적 위험 요인이 과징금 산정 공식에 충분히 반영되지 않는다는 점은 이미 수년 전부터 전문가들이 지적해온 제도적 허점이다.
정부는 이번 처분이 현행 법령에 근거한 것이라는 입장이지만, 오는 9월 시행 예정인 징벌적 과징금 제도와 별개로 산정 체계 전반에 대한 재점검이 필요하다는 목소리가 커지고 있다.
관할 지자체인 서울 강남구가 다음 달로 예정됐던 정기 점검을 다음 주로 앞당기고, 법 위반이 확인되면 영업정지 등 강력한 행정처분까지 검토하겠다고 밝힌 것도 여론의 온도 차를 반영한 움직임이다.
매출 규모가 아닌 유출 정보의 치명성, 피해자의 실질적 고통, 기업의 사후 대응 태도를 종합적으로 반영하는 새로운 규제 잣대가 마련되지 않는 한 '성실한 기업이 손해 보고 은폐한 기업이 득을 보는' 역진적 구조는 다음 사고에서도 되풀이될 수밖에 없다는 지적이 나온다.
대형 로펌 개인정보 전문 변호사는 "개인정보 보호 규제가 매출액 기반의 산술 공식에 갇혀 있는 한, 기업 입장에서는 유출 사실을 투명하게 알리기보다 최대한 늦추고 축소하려는 유인이 사라지지 않는다. 정보의 민감도와 사후 대응의 질을 반영한 차등 제재 체계가 시급히 도입돼야 한다"고 말했다.
