45만 명 주민번호 유출에도 제한적 제재
개인정보 유출 사고→과징금 ‘소송 시대’
“매출 10%” 제재 체계 전면 강화 움직임

300만 명에 가까운 금융 소비자의 신용정보가 외부로 유출된 사안과 관련해 롯데카드에 96억원의 과징금이 부과됐다. 조사 과정에서 일부 이용자의 주민등록번호가 암호화되지 않은 상태로 저장된 사실이 확인돼 충격을 키웠지만, 최근 발생한 유사 사건들과 비교할 때 제재 규모가 상대적으로 작다는 점에서 업계의 관심이 이어지는 상황이다. 대기업 개인정보 유출 사건 이후 행정소송이 이어지는 가운데, 정부는 오는 9월부터 매출액의 최대 10%를 과징금으로 부과하는 제도 개편에 나선다. 

기초적 보호 조치 미이행에도 제한적 제재

12일 개인정보보호위원회(개보위)는 전날 제4회 전체회의를 열고 고객 297만 명의 신용정보를 유출한 롯데카드에 96억2,000만원의 과징금과 과태료 480만원을 부과하기로 의결했다고 밝혔다. 개보위는 “롯데카드가 법이 허용한 테두리를 벗어나 소비자들의 개인정보를 처리한 행위와 그 과정에서 충분한 암호화를 적용하지 않은 행위에 대해 과징금과 과태료를 산정했다”고 설명했다. 다만 이는 주민등록번호 처리를 중심으로 한 개인정보보호법 위반에 대한 조치로, 신용정보법에 따른 금융당국의 제재와는 별도라는 서술도 뒤따랐다.

앞서 롯데카드는 지난해 9월 22일 금융감독원을 통해 개인신용정보 유출 사실을 자진 신고했다. 이후 정부 민관합동조사단과 개보위가 관련 사안 공동 조사에 착수했고, 그 결과 해킹 과정에서 온라인 결제 로그 파일에 저장돼 있던 이용자 297만 명의 개인신용정보가 외부로 유출된 것으로 파악됐다. 특히 이 가운데 약 45만 명의 이용자는 주민등록번호까지 함께 유출된 것으로 확인됐다. 결제 기록을 저장하던 로그 데이터가 공격 대상이 되면서 대규모 개인정보 유출로 이어진 것이다. 

롯데카드는 개인정보 관리 체계의 기본적인 보안 절차마저 지키지 않은 것으로 드러났다. 개보위는 “롯데카드는 온라인 결제와 관련된 로그에 주민등록번호를 포함한 개인정보를 암호가 아닌 평문으로 기록했다”며 “이를 보호하기 위한 암호화 조치도 충분히 이뤄지지 않았다”고 지적했다. 또한 로그 파일에는 최소한의 개인정보만 기록해야 함에도 주민등록번호를 포함한 다수의 개인정보가 별도의 검토 절차 없이 저장된 것으로 확인됐다. 개보위는 이러한 관리 방식이 해킹 이후 대규모 개인정보 유출로 이어진 주요 원인이라고 판단했다. 

이 때문에 개보위는 롯데카드에 과징금 외에도 개인정보보호책임자(CPO)의 책임과 독립성을 강화하는 등 개인정보 보호 체계를 전반적으로 정비하라는 시정 조치를 함께 내렸다. 아울러 이번 사건을 계기로 금융권 전반의 개인정보 처리 관행에 대한 점검에도 착수한다는 계획이다. 개보위는 “법적 근거가 없거나 불필요함에도 주민등록번호를 관행적으로 처리하는 사례가 있는지 금융 분야 사업자들을 대상으로 이달 중 실태 점검을 추진할 방침”이라며 “사업자 스스로 개인정보 오남용에 대한 경각심을 갖고 개인정보 보호 원칙에 따라 처리 현황을 주기적으로 점검하고 개선해야 한다”고 강조했다. 

빅테크 행정소송 대응 빈번

업계는 롯데카드가 개보위의 과징금을 수용할지 여부에 주목하는 모양새다. 기업이 과징금 규모에 불복해 개보위와 소송전을 벌이는 경우가 빈번한 까닭이다. 대표적인 사례로 SK텔레콤을 꼽을 수 있다. 개보위는 지난해 8월 SK텔레콤 내부 시스템 해킹 사고를 조사한 결과 이용자 2,324만 명의 휴대전화번호와 가입자식별번호(IMSI), 유심 인증키 등 총 25종의 정보가 유출됐다고 발표했다. 이에 대해 개보위는 보안 조치 미흡 등의 책임을 물어 위원회 출범 이후 최대 규모인 1,347억9,100만원의 과징금과 과태료 960만원을 부과했다. 

SK텔레콤은 이후 서울행정법원에 과징금 부과 처분을 취소해 달라는 소송을 제기했다. 회사 측은 해킹 사고 이후 보상안과 정보보호 혁신안 마련에 총 1조2,000억원을 투입했고, 소비자들의 실제 금융 피해가 확인되지 않았다는 점 등을 소송 과정에서 주요 쟁점으로 제시했다. 과징금 부과 직후 최태원 SK그룹 회장이 직접 대국민 사과에 나서기도 했지만, 법적 책임을 둘러싼 다툼은 별도로 이어진 셈이다. 이를 두고 재계에서는 “사회적 책임 메시지와 법적 전략을 분리하는 전형적인 대기업 대응 방식”이라는 평이 주를 이뤘다. 

고의적·영리 목적의 개인정보 활용이 인정된 구글·메타 사례와 형평성 문제도 제기됐다. 2022년 9월 구글과 메타는 이용자 동의 없이 맞춤형 광고에 개인정보를 활용했다는 이유로 각각 692억원, 308억원의 과징금을 부과받았다. 두 회사는 즉각 행정 소송에 나섰고, 해당 사건은 항소심까지 이어지며 수년째 법정 공방을 진행 중이다. 카카오 역시 개인정보 유출 사건과 관련한 151억원 규모 과징금 처분에 불복해 소송 절차에 돌입했으며, 쿠팡 또한 개인정보 관리 및 광고 관련 제재에 대해 법적 대응을 선택한 전례가 있다. 

법조계에서는 이러한 흐름을 두고 “행정기관이 강한 제재 메시지를 내놓으면, 기업은 법원에서 감액 여부를 다투는 구조가 점차 일반화되는 추세”라는 냉소적 시각이 주를 이룬다. 특히 개인정보 관련 과징금은 매출액 연동 방식이 적용되면서 그 규모가 늘고, 다툼의 여지 또한 증가했다는 분석이다. 한 행정법 전문 변호사는 “업체별 매출 산정 기준이나 책임 범위 적용 방식이 다르게 해석될 경우, 기업 입장에서는 법원의 판단을 요구하는 게 당연하다”고 짚었다. 유사한 사안에서 과징금 규모가 큰 차이를 보일수록 형평성 문제 또한 더 크게 주목받을 수밖에 없다는 의미다. 

유출 책임 강화 정책 추진

이런 가운데 정부는 오는 9월부터 개인정보 유출 사고를 막기 위한 ‘징벌적 과징금’을 도입할 계획이라고 밝혔다. 지금까지는 개인정보 보호법 위반 시 전체 매출액의 최대 3% 범위에서 과징금을 부과할 수 있었지만, 개정안 시행 이후에는 전체 매출액의 최대 10%까지 징벌적 과징금 부과가 가능해진다. 특히 최근 3년간 고의 또는 중대한 과실로 동일한 위반 행위를 반복했거나, 1,000만 명 이상 대규모 개인정보 유출 피해가 발생했을 경우, 또는 시정 명령을 이행하지 않아 유출 사고가 이어진 경우 등은 강화된 과징금 적용 대상이 된다.

제도 변화의 배경에는 잇따른 대형 개인정보 유출 사건을 계기로 불거진 과징금 제재의 실효성을 둘러싼 논쟁이 자리한다. 특히 SK텔레콤 사건 이후 개인정보 제재 수위와 기업 책임 범위를 둘러싼 논쟁이 확산하면서 제도 자체를 강화해야 한다는 정책 논의가 본격화한 상황이다. SK텔레콤에 부과된 1,348억원 상당의 과징금은 애초 “역대 최대 수준”이라는 평가를 들었지만, 회사의 막대한 매출 규모와 비교하면 0.8%도 채 되지 않는 수준이라는 지적이 제기되면서 제재 수위 논쟁으로 이어졌다. 

이에 정부는 개정 개인정보 보호법에서 기업의 사전 보호 체계를 유도하는 장치도 포함했다. 개인정보 보호를 위해 예산·인력·설비·보안 장치 등에 선제적으로 투자한 기업이나 기관의 경우, 이러한 예방 조치를 과징금 감경 사유로 반영하도록 했다. 또 개인정보 유출 통지 기준을 기존 ‘유출 사실 확인’에서 ‘유출 가능성 인지’ 단계로 확대하고, CPO에 한정됐던 관리 책임을 최고경영자(CEO)까지 확대하는 내용도 담겼다. 정부는 이러한 제도 개편을 통해 개인정보 보호 책임을 기업 경영 차원에서 강화하겠다는 구상이다.