910.71
 |
운전을 하다 보면 교통법규 위반으로 범칙금 통지서를 받아본 경험이 한두 번쯤은 있을 것이다. 경미한 위반에 대한 소액 범칙금은 별 생각 없이 납부하지만, 액수가 커지면 문득 이런 의문이 든다. "이 돈은 어디에 쓰일까." 필자도 그런 경험으로 관심을 가지고 알아보니 예전에는 교통법규 위반 범칙금이 교정시설 건설에도 쓰였다는 것을 알고 그 관련성에 고개를 갸우뚱 했던 기억이 떠올랐다.
개인정보 유출에 대한 과징금 역시 마찬가지다. 얼마 전 한 기업에 6400억원대 과징금이 부과되면서 역대 최대 기록을 경신했다. 액수 자체도 충격적이지만, 더 중요한 것은 AI 시대의 새로운 사이버 위협 속에서 과징금 제도가 기업과 산업, 나아가 국제 관계에 어떤 영향을 미칠 것인가 하는 점이다.
무엇보다 개인정보 유출 대응이 과징금 중심의 사후 통제에 지나치게 의존하고 있지는 않은지 돌아볼 필요가 있다. 최근 개인정보보호법 개정으로 과징금 상한이 전체 매출액의 10%까지 확대되면서 향후에는 조(兆) 단위 과징금도 산술적으로 가능해졌다. 지난해 1400억원대 과징금이 역대 최고액으로 기록됐지만 이후에도 대규모 개인정보 유출 사고는 반복되고 있다. 과징금 규모를 높이는 것만으로는 사고를 예방하는 데 한계가 있다는 사실을 보여준다.
최근 AI 환경에서 나타나는 새로운 사이버 위협도 이런 문제의식을 뒷받침한다. 엔트로픽 미토스 사태에서 나타난 바와 같이 과거 수십 년간 안전하다고 평가받던 보안 솔루션조차 새로운 공격 기법 앞에서는 취약성을 드러내고 있다. 이제는 모든 침입을 사전에 차단하는 방식에서 벗어나 침입이 발생하더라도 피해를 최소화하고 핵심 시스템을 보호하는 방향으로 보안 패러다임을 전환해야 한다.
사전 예방 체계를 강화하기 위한 제도적 보완도 검토할 필요가 있다. 기업 회계감사 과정에 개인정보 관리 항목을 포함하는 방안도 그중 하나다. 일정 규모 이상의 기업과 공공기관에 대해 개인정보 관리 실태를 정기적으로 점검하도록 한다면 사후 처벌보다 훨씬 효과적인 예방 수단이 될 수 있다.
개인정보 과징금 문제는 글로벌 통상 환경과도 무관하지 않다. 중국은 차량 호출 플랫폼 디디추싱에 약 1조5500억원, 아일랜드는 메타에 약 5300억원, 프랑스는 구글과 메타에 약 2800억원의 과징금을 부과한 바 있다. 개인정보보호법은 각국의 법체계와 정책 철학을 반영하기 때문에 글로벌 기업들은 국가별 규제 리스크에 상시 노출돼 있다. 해외 시장에서 사업을 영위하는 우리 기업들 역시 예외가 아니다.
특히 우리나라의 과징금 상한이 매출액의 10%까지 높아진 만큼 개인정보 보호 정책이 불필요한 통상 마찰이나 외교 현안으로 비화하지 않도록 세심한 관리가 필요하다. 지난해 서울에서 세계 개인정보 감독기구 총회(GPA)가 열린 것도 이런 측면에서 의미가 크다. 미국, 중국, EU, 일본 등 주요국 감독기구와의 협력 채널을 확대해 국제적 기준을 조율하고 분쟁 가능성을 줄여 나가야 한다.
과징금의 사용처에 대한 사회적 논의도 더 이상 미룰 수 없다. 지금까지는 과징금이 일반 재원으로 국고에 편입되는 것이 자연스럽게 받아들여져 왔다. 과거 개인정보유출 관련 과징금의 액수나 개인정보 유출의 국가적 파장이 그리 크지 않았을 때는 사회적 관심이 별로 없었던 것도 사실이다. 그러나 수천억원에서 향후 수조원 규모까지 예상되는 과징금 시대에는 다른 접근이 필요하다. 개인정보 유출 피해자 지원과 보안 인프라 확충, 개인정보 보호 기술 개발 등에 과징금의 일부를 활용하는 방안을 검토할 필요가 있다. 과징금을 단순한 징벌 수단에 그치지 않고 개인정보 보호 역량을 높이는 재원으로 활용한다면 제도의 실효성과 국민 수용성도 함께 높아질 수 있다.
과징금 산정 기준의 명확성 역시 중요한 과제다. 현재는 전체 매출액에서 개인정보와 무관한 매출액을 제외한 뒤 위반 행위에 상응하는 비율을 곱하는 구조다. 하지만 개인정보 관련 매출액의 범위를 어디까지 인정할 것인지에 대해서는 여전히 해석의 여지가 적지 않다. 특히 회계 기준과 회계연도가 다른 글로벌 기업의 경우 관련 매출액 산정이 국내 기업보다 훨씬 복잡하고, 이에 따른 형평성 논란이 발생할 수 있다. 예측 가능한 규제 환경을 만들기 위해서는 보다 구체적이고 일관된 기준이 마련돼야 한다.
AI 시대에는 해킹 기술 역시 빠르게 진화하고 있다. 기업 입장에서 강화된 과징금 제도는 분명 부담되는 측면이 있는 게 사실이다. 최근 잇따른 개인정보 유출 사고가 보여주듯 개인정보 보호는 더 이상 비용이 아니라 신뢰의 문제다. 예방 중심의 보안 체계, 국제 협력 강화, 합리적인 산정 기준, 그리고 피해 구제와 보호 인프라 확충으로 이어지는 선순환 구조가 마련될 때 비로소 '과징금 6000억+α 시대'는 국민의 신뢰와 기업의 경쟁력을 함께 높이는 제도로 자리 잡을 수 있을 것이다.