정부가 대규모 개인정보를 유출하고도 부실 대응과 무책임한 태도를 보인 쿠팡에 영업정지 검토 등 압박 수위를 높이는 건 그동안 정보보안 투자에 소홀했던 기업들에 본때를 보여주겠다는 의지가 반영된 듯하다. 엄청난 개인정보 수집·활용과 수익에 비해 대형 사고나 법규 위반 시 경미한 과징금 등 솜방망이 처벌에 그친 게 기업들의 ‘보안 불감증’을 부추겼다는 판단에 따른 것이다. 쿠팡 사태를 계기로 과징금과 피해 보상 수준을 선진국처럼 대폭 강화하고, 개인정보 보호 체계도 고도화해야 한다는 목소리가 높다.
21일 정보통신기술(ICT) 업계에 따르면 정부가 쿠팡을 상대로 영업정지를 포함해 강력한 제재 방안을 추진하는 건 최악의 고객 정보 유출 사태에도 창업자 김범석 쿠팡 Inc 의장의 공식 사과 한마디가 없는 등 국민을 우롱하는 듯한 쿠팡의 행태가 도를 넘었다고 봤기 때문으로 풀이된다. 실제 김 의장 등 쿠팡 측 대응을 보면 과거 유사 사례가 터진 기업들에 대한 법적·경제적 처벌이 미미했던 데다 ‘새벽배송’ 등 편리한 쿠팡 서비스에 익숙해진 소비자들이 다른 플랫폼으로 갈아타기 힘들 것이란 자신감에서 비롯된 인상이 짙다. 이재명 대통령의 주문에 따라 정부가 영업정지와 막대한 과징금 부과 등 경제적 제재를 대폭 강화하기로 한 이유다. 다만 영업정지의 경우 수많은 입점업체와 이용자에게 상당한 피해와 불편을 안길 수 있어 쿠팡에 적용하기는 쉽지 않을 것이란 관측도 나온다. 전자상거래법상 영업정지가 국민과 시장에 혼란을 일으킬 경우 이를 과징금 부과로 대체할 수 있는 만큼 쿠팡에 ‘과징금 폭탄’을 날릴 공산이 크다.
지금까지 실효성 없는 처벌이 잇따른 개인정보 유출 사건의 요인 중 하나라고 보기 때문이다. 현재 개인정보 유출 시 전체 매출의 3%까지 과징금을 부과토록 규제가 강화됐으나 기업에 강한 규제가 적용된 사례는 드물었다. 올해 2300만명 유심 정보가 해킹된 SK텔레콤에 역대 최대 과징금 1348억원이 부과된 게 예외적일 정도다. 그전까지 개인정보 유출 규제로 부과된 최대 금액은 지난해 카카오에 매긴 과징금 151억원이었다. 쿠팡만 해도 이번 사태 전 세 차례 유출 사고가 있었지만 과태료와 과징금 16억원을 낸 데 그쳤다.
피해자들의 집단소송이 실제 배상으로 판결되는 경우도 적었다. 2012년 KT의 870만명 정보 유출 사건은 1심에서 1인당 10만원 배상 판결이 나왔지만 대법원에서 뒤집혔고, 2011년 네이트·싸이월드 유출 사고도 2018년 대법원에서 배상 책임이 없다는 판결이 확정됐다. 손해액의 최대 5배를 물리는 징벌적 손해배상제는 도입된 뒤 적용 사례가 아예 없다. 피해자가 기업 과실과 피해액을 입증하는 게 쉽지 않아서다.
미국의 경우 2019년 1억명의 고객 금융정보를 유출한 캐피털 원이 집단소송 합의금과 벌금 등에 4000억원 이상을 쓰고, 7600만명 정보를 유출한 티모바일이 이후 7조3500억원가량을 부담한 것과 대조적이다. 김명주 인공지능(AI)안전연구소장은 “한국 기업들은 보안 투자 비용과 과징금·과태료, 소송비 등을 비교했을 때 후자가 부담이 적다는 인식이 많았다”고 말했다.
이런 탓에 기업들은 정보보안에 투자하기보단 쿠팡처럼 대관 조직을 강화하며 법적 리스크 관리에 주력했다. 과학기술정보통신부와 한국정보보호산업협회가 지난달 낸 올해 국내 정보보호산업 실태조사 결과를 보면 국내 기업 중 보안 전업 인력을 갖춘 곳은 28.6%에 불과했다. ICT 업계 관계자는 “대기업을 제외한 기업들의 낮은 보안 투자 비용이 적은 보상과 인력 유출 등으로 이어져 보안 취약성이 높아졌다”고 설명했다. 김 소장은 “경제적 제재를 강화하는 방향이 기업들의 보안 리스크를 높이는 효과를 낼 수 있다”고 했다. 쿠팡 사태 이후 국회에선 과징금 상한을 매출의 4%로 높이고, 대규모 유출이 발생하면 매출의 10%까지 부과하는 징벌적 과징금 제도가 논의되고 있다.
다만 ‘엄벌주의’가 오히려 기업의 유출 사고 은폐를 부추길 수 있다는 지적도 나온다. AI 진화로 해킹 수법이 고도화됐고, 국가·조직적 해킹 위협을 기업 차원에서 완벽하게 막아내긴 불가능하다는 점에서다. 이에 전문가들은 기업의 실질적인 보안 강화 노력을 반영한 과징금 체계 확립, 피해구제 방안 제고, 당국의 중복 조사·수사 체계 개선 등을 통해 재발 방지 실효성을 높이는 게 중요하다고 강조한다. 이성엽 고려대 기술정보대학원 교수는 “개인정보 유출이 문제 된 기업이 안전성 확보 조치 의무 이행을 입증해 제재받지 않은 사례는 거의 없다”며 “프라이버시 보호를 시스템에 내재화하는 설계를 의무화하는 게 필요하다”고 강조했다. 사이버안전청과 같은 사이버 침해·개인정보 유출을 총괄하는 전문기관 설립도 제안했다.