개보위, 카카오에 과징금 151억원 부과
법원 "개인정보 유출 방지에 소홀"
"과징금 산정 방식도 문제없다"

약 6만5,000건의 개인정보 유출로 개인정보보호위원회로부터 역대 최대 과징금인 151억원을 부과받은 카카오가 행정소송을 냈으나 패소했다. 재판부는 보안 취약점을 인지했음에도 적절한 암호화 조치를 방기한 기업의 과실을 명확히 지적하며, 당국이 부과한 과징금이 공익적 가치 보호를 위한 정당한 처분이라고 판단했다. 이번 판결은 매출액의 최대 10%까지 과징금을 상향한 법 개정과 맞물려, 향후 보안 사고가 기업의 존립을 위협하는 치명적인 경영 리스크로 작용할 것임을 시사하고 있다.

법원 "카카오, 안전조치 의무 위반 적법"

16일 IT업계와 법조계에 따르면 서울행정법원 행정14부(이상덕 부장판사)는 전날 카카오가 개인정보위를 상대로 낸 과징금 부과 처분, 시정명령 등 취소 소송에서 원고 패소로 판결했다. 개인정보위는 지난 2023년 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론 보도 이후 카카오의 개인정보보호법 위반 여부 조사에 착수했다. 이후 개인정보위는 카카오가 회원 개인정보를 부실하게 관리해 6만5,000여 건이 유출된 사실을 확인하고 2024년 5월 안전 조치 의무 위반으로 역대 최대 과징금인 151억4,196만원과 과태료 780만원을 부과했다.

이에 카카오는 같은 해 11월 개인정보위 처분이 부당하다며 행정소송을 제기했다. 하지만 재판부는 개인정보위의 과징금 부과가 적법하다고 판단했다. 재판부는 "휴대전화번호, 프로필명, 참여 오픈채팅방명, 해당 오픈채팅방 프로필 등의 형태로 결합한 오픈채팅 데이터베이스가 온라인에 공개·판매된 것은 개인정보 유출에 해당한다"고 설명했다. 그러면서 카카오가 개인정보 유출 사실을 당국과 이용자에게 신고·통지하지 않은 것은 위법하다고 했다.

아울러 재판부는 카카오가 2020년 8월 5일 새롭게 생성되는 오픈채팅방에 한해 암호화 조치를 한 점에 비춰볼 때 보안상 위험이 현실화하거나 개인정보 유출의 위험성이 발생했음을 인지했거나 최소한 인지할 수 있는 상황이었다며, 그런데도 이후 추가 개선 조처를 하지 않았다고 지적했다. 재판부는 개인정보위가 카카오에 부과한 과징금액 역시 산정 기준을 그대로 따른 것으로 정당하다고 판단했다.

개인정보 유출, 더 세게 문다

법조계에서는 이번 카카오 패소가 예견된 수순이었다는 데 의견이 일치하는 분위기다. 지난해 개인정보보호법 개정 이후 개인정보 유출에 대한 처벌이 대폭 강화되면서 규제당국과 사법당국의 과징금 제재 실효성을 높이기 위한 의지가 확대됐다는 설명이다. 실제 개정안의 핵심은 과징금 부과 기준의 대폭 상향이다. 현행법상 개인정보 유출 사고의 과징금 상한은 ‘전체 매출액의 3%’였으나, 개정안은 이를 ‘최대 10%’로 높였다. 매출 산정이 곤란한 경우에 대한 과징금 상한도 20억원에서 50억원으로 높였다. 글로벌 기준에 발맞춰 기업이 개인정보 보호에 소홀할 경우 ‘회사가 휘청일 정도’의 강력한 경제적 제재를 가하겠다는 취지다.

과징금 부과는 △고의 또는 중대한 과실로 3년 이내 반복적 법 위반이 있는 경우 △고의 또는 중대한 과실로 1,000만 명 이상 대규모 피해가 발생한 경우 △시정조치 명령에 따르지 않아 유출이 발생한 행위에 한해 이뤄진다. 또 개정안에는 △사업주 및 대표자의 개인정보 보호 책임 명문화 △주요 개인정보처리자의 ‘개인정보 보호 인증’ 의무화 △유출 우려 시 정보주체 통지 의무 강화 등의 내용이 포함됐다.

또한 정부·여당은 현재 증권분야에 국한돼 있는 집단소송제 적용 대상을 개인정보 보호 쪽으로 확대하는 방안도 추진하고 있다. 경제 범죄 처벌 강화를 통한 재발 방지 노력 촉구 차원이다. 이는 미국과 유럽 등에서 시행되는 징벌적 과징금과 손해배상 소송 제도에 견줄 정도는 못되지만, 파격적인 것만은 분명하다.

전문가들은 앞으로 보안 사고에 대한 처벌이 더 강화될 것으로 보고 있다. 지난해만 해도 쿠팡, SK텔레콤, KT, LG유플러스, 롯데카드, 신한카드 등 주요 플랫폼·이동통신·카드 기업에서 해킹 및 개인정보 유출 사고가 줄줄이 터졌다. 특히 이동통신 3사에선 반복적으로 터졌다. 개인정보 유출 건수도 각각 수천만 명에 달한다. 게다가 앞서 이재명 대통령이 직접 '패가망신'을 언급했다. 규정을 어겨 보안을 소홀히하다 가입자·이용자 개인정보를 유출하면 망한다는 인식을 갖게 해야 한다는 것이다. 그러면서 과징금 산정 기준 강화와 집단소송제 도입 등 실효적인 징벌적 제재도 주문했다.

기업 보안 실패, 엄중 제재 뒤따라야

법조계에 따르면 개인정보 유출 사건이 발생하면 시장의 자발적 제재가 뒤따라야 하는 게 정상적이다. 소비재 시장에서는 불매운동으로 매출에 타격이 가해지고, 자본시장에서는 리스크 증가에 따른 주가 하락과 자본조달 비용 상승이 나타나는 것이 일반적이라는 것이다. 독일 폭스바겐이 2015년 ‘디젤 게이트’로 전 세계적 불매운동을 겪으며 시가총액이 반토막 났던 사례가 대표적이다. 하지만 한국에서는 이 같은 자정 메커니즘이 작동하지 않는다. 과거 재벌 총수들의 대규모 배임·횡령 사건에서도 기업 매출과 자본조달 여건은 견고하게 유지됐다.

이는 일종의 한국적 시장 실패 현상으로 해석되는데, 쿠팡 같은 플랫폼 기업에서 더 두드러진다. 플랫폼 특유의 양면 시장 구조와 강력한 락인(Lock-in, 가두기) 효과 때문이다. 2022년 카카오 데이터센터 화재 당시 서비스 전반이 마비됐음에도 이용자 이동이 제한됐던 배경 역시 이러한 구조에서 설명된다. 메신저를 넘어 택시, 결제, 인증 등 생활 인프라가 그 안에 묶여 있었기 때문이다. 쿠팡 또한 로켓배송과 멤버십 생태계가 제공하는 편리함으로 소비자를 붙들어 매고 있어 자정 작용이 제대로 작동하기 어렵다는 평가다.

이런 상황에서 미국 시장의 징벌적 사후 책임 사례는 시사하는 바가 크다. 특히 야후의 사례는 정보 유출에 따른 응징을 단적으로 보여준다. 야후는 2013년과 2014년에 발생한 30억 개의 계정 유출 사실을 2016년에야 공개하며 은폐를 시도했다. 이에 미국 증권거래위원회(SEC)는 공시 의무 위반을 근거로 3,500만 달러(약 515억원)의 과징금을 부과했다. 이와 별도로 주주들이 제기한 증권 집단소송으로 1억1,750만 달러(약 1,730억원)를 합의금으로 지불해야 했으며, 핵심 사업부 매각 가격이 3억5,000만 달러(약 5,150억원) 삭감되는 대가를 치렀다.

2017년 1억4,700만 명의 개인정보를 유출한 신용평가사 에퀴팩스(Equifax) 역시 7억 달러(약 1조원)에 달하는 징벌적 과징금과 함께 주주들의 강력한 법적 대응에 직면했다. 주주들은 경영진이 보안 경고를 방치해 기업 가치를 훼손했다며 주주대표소송과 증권 집단소송을 동시에 제기했다. 에퀴팩스는 주주들과의 합의를 통해 막대한 보상금을 지급했을 뿐만 아니라, 이사회 내 보안 전담 위원회 설치와 독립적 감사 도입 등 지배구조 개편이라는 구조적 비용도 감내해야 했다.

미국의 사후 책임 체계는 민사적 배상에 그치지 않는다. 기업의 위법 행위가 고의적이거나 기만적일 경우 강력한 형사 처벌도 병행된다. 2016년 발생한 우버의 개인정보 유출 은폐 사건이 대표적 예다. 당시 우버는 약 5,700만 명의 고객과 기사 정보 유출 사고를 겪었으나, 최고보안책임자(CISO) 조 설리번은 규제 당국에 알리는 대신 해커들에게 10만 달러(약 1억4,700만원) 상당의 비트코인을 지급하며 사건을 무마하려 했다. 이에 미 연방검찰은 연방기관의 조사를 방해한 사법 방해(Obstruction of Justice)와 중대 범죄 은닉(Misprision of a Felony) 혐의로 설리번을 기소했고, 이후 2023년 연방법원은 그에게 유죄를 선고, 보호관찰 3년과 사회봉사 200시간을 명령했다. 재판부는 보안 책임자에게 형사 책임을 물은 최초의 사례임을 고려해 실형은 면해주면서도 “다음 보안 책임자가 똑같은 짓을 한다면 그때는 감옥에 가게 될 것”이라는 강력한 경고를 남겼다. 기업의 보안 실패가 경영진 개인의 인신 구속으로 이어질 수 있다는 엄중한 선례를 남긴 것이다.