고객정보 1억건 유출에 벌금 1500만원…정보보호 불감증의 이유

[이데일리 최영지 기자] 지난 8월부터 데이터3법(개인정보보호법·신용정보법·정보통신망법)이 시행되면서 개인 가명정보 활용 만큼이나 개인정보 보호에 대한 기대감도 높아지고 있지만, 외국과 비교해 여전히 정보 유출에 따른 처벌은 솜방망이에 그치고 있다는 지적이 이어진다.

김성훈(왼쪽) 변호사가 지난 2014년 카드사 개인정보 유출사건 당시 서울 서초구 서울중앙지법에서 원고 2808명의 소장을 접수하고 있다.(사진=뉴시스)

7일 국회 정무위원회 소속 김병욱 더불어민주당 의원실에 따르면 최근 9년 간 공공기관과 민간업체 등에서 유출된 개인정보가 최소 2억8000만건을 넘는 것으로 집계됐다. 그러나 이에 대한 제재는 미미하다. 개인정보보호법에 따라 개인정보 처리자는 개인정보가 분실, 유출 또는 위·변조되지 않도록 기술적·관리적 조치를 해야 하지만, 지켜지지 않을 경우에도 5억원 이하의 과징금만 부과될 뿐이다.

최근 금융감독원은 하나은행 임직원 4명에 대해 금융거래의 비밀보장의무를 위반했다는 이유로 제재했다. 해외금리 연계 파생결합펀드(DLF) 투자로 대규모 손실 위기에 처한 고객 1000여명의 거래 정보를 법률자문을 맡은 법무법인에 넘기면서도 이를 고객에게 알리지 않았다. 회사가 아닌 직원들만이 책임을 지게 돼 약한 수위의 제재로 끝났다.

법적 판단도 마찬가지다. 앞서 대법원은 지난달 개인정보 유출 혐의로 기소된 금융사들에 대한 상고심에서 유죄로 판결한 원심을 확정했다. 금융사 용역업체 직원이 지난 2012~2013년 금융사 내 보관된 개인정보를 빼돌려 대출 알선업자에게 넘기고 그 대가로 수천만원을 챙긴 혐의를 받았고, 이 때 유출 정보는 고객 이름과 주민번호, 신용카드번호 등으로 피해규모는 1억건에 달했다. 다만 회사에 대한 최고 벌금액은 1500만원에 불과했다. 이는 범행 당시 선고할 수 있는 최고액이었기에 처벌 수위를 높아야 한다는 목소리가 나오고 있다.

반면 해외에서는 개인정보 유출에 대해 엄격한 처벌을 부과하고 있다. 미국은 지난 2016년 8700만명의 개인정보 유출로 문제가 된 페이스북에 50억달러(약 5조9000억원)의 과징금을 부과했다. 이는 페이스북의 전년도 매출 중 9%에 해당하는 금액이다.

유럽연합(EU)은 2018년부터 유럽 일반 개인정보보호법(GDPR)을 시행하고 있다. 개인정보를 처리·활용하려면 정보주체가 진술이나 적극적인 행동을 통해 명확한 동의 의사를 밝혀야 하며, 기업이 이 동의 의무를 위반할 경우에는 최대 연간 매출액의 4%, 또는 2000만 유로 중 높은 금액을 과징금으로 부과해야 한다. 실제 구글의 경우 GDPR 위반 혐의로 프랑스에서 5000만유로(약 700억원)의 벌금을 부과받았다.

우리나라도 데이터3법 개정안 시행으로 개인정보 유출 위험성에 대한 법적 테두리가 강화된 측면이 있다. 개인정보를 가공처리한 가명정보를, 산업 연구 등에 활용할 수 있도록 하는 내용이 핵심이다. 다만 기업들의 가명정보 처리과정에서 서로 다른 가명정보가 결합될 경우 위험 관리 기준이 명확하지 않다는 문제는 남아 있다.