천억대 과징금의 역설, 무엇을 지키려는가 [김현아의 IT세상읽기]

작성일 08-31

<div id="layerTranslateNotice" style="display:none;"></div> 해킹 피해 기업에 빅테크보다 무거운 처벌 숫자 경쟁 아닌 실효적 보호로 전환해야 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="K605EDuSIX">
 [이데일리 김현아 기자] 1347억 9100만원. 지난 28일 개인정보보호위원회가 해킹으로 고객 정보를 유출당한 SK텔레콤에 부과한 과징금 액수입니다. 개인정보위 출범 이후 최대 규모의 제재였죠. 
 그러나 현장에서 더 눈길을 끈 건 액수가 아니었습니다. 불과 몇 달 전만 해도 “엄벌이 필요하다”는 강경한 메시지를 던지던 고학수 위원장이 이번에는 “복제폰 가능성은 낮다”는 말과 함께 차분히 사건을 설명했기 때문입니다.
 <figure class="figure_frm origin_fig" contents-hash="244d105ce48483ac670396d910703e5bdc810719999a343fcacceb6949fd9731" dmcf-pid="VV1GjA3IwY" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202508/31/Edaily/20250831164544581thcy.jpg" data-org-width="550" dmcf-mid="BEsi7zA8m5" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202508/31/Edaily/20250831164544581thcy.jpg" width="658">
 </figure>
 <div contents-hash="b8148233d43151279fe96b1cb9e608e14d2000a2ca14acdf41fe4210d2eb61a8" dmcf-pid="fftHAc0CmW" dmcf-ptype="general">
 산식이 만든 역설
 </div>
 이번 사건은 알뜰폰 가입자를 포함해 2324만 4649명의 전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종의 정보가 유출된 중대한 해킹 사고였습니다. 그러나 아직까지 2차 피해는 확인되지 않았죠. 
 그럼에도 SK텔레콤이 받은 과징금은 구글(692억), 메타(308억)의 두 배 이상입니다. 개인정보를 상업적으로 활용해 이익을 챙긴 글로벌 빅테크보다 오히려 해킹 피해를 입은 기업이 더 무거운 제재를 받은 셈이죠.
 논란의 핵심은 개인정보보호법의 과징금 산정 구조입니다. 신용정보법은 개인신용정보가 도난·분실되더라도 과징금 상한을 50억원으로 정했습니다. 은행이나 증권사는 그 이상을 내지 않지요. 
 반면 개인정보보호법은 ‘전체 매출액’을 기준으로 합니다. SK텔레콤의 무선 매출이 약 10조원에 달하다 보니, 감경을 적용해도 천억 원대 과징금을 피할 수 없는 구조입니다. 같은 개인정보 유출이라도 적용 법에 따라 기업의 운명이 극적으로 갈리는 셈입니다.
 <figure class="figure_frm origin_fig" contents-hash="8208e0d17a51a5b42c806db454019ff284dbacb41a83a2847f7c07c0bdbfd385" dmcf-pid="QQUtwrzTml" dmcf-ptype="figure">
 <img alt="[이데일리 김일환 기자]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202508/31/Edaily/20250831164545987yoxm.jpg" data-org-width="670" dmcf-mid="bfyhJiGkOZ" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202508/31/Edaily/20250831164545987yoxm.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 [이데일리 김일환 기자]
 </figcaption>
 </figure>
 <div contents-hash="50037636543d9f2145c6cd68faa9f12eef528c49a479ec8d2a0821964a963666" dmcf-pid="xa4KyWP3sh" dmcf-ptype="general">
 형식 논리에 갇힌 집행
 </div>
 이번 사건은 단순히 SK텔레콤의 문제가 아닙니다. 개인정보보호법 체계가 사회 전반에 어떤 신호를 던지고 있는지를 되묻게 합니다. 
 지난해 개인정보보호법 개정으로 과징금 기준은 ‘관련 매출액의 최대 3%’에서 ‘전체 매출액의 최대 3%’로 바뀌었지요. 기업 책임성을 강화하겠다는 명분이었지만, 실제로는 ‘프라이버시 보호’라는 법익보다 개인정보 자체를 과잉 보호 대상으로 삼는 결과를 낳았습니다.
 김도승 전북대 교수는 “IMSI는 개인정보로 평가할 수 있어 제재는 불가피하지만, 피해 복구가 진행 중인데 수천억원을 확정하는 건 숙의가 부족했다”고 지적했습니다. 이성엽 고려대 교수 역시 “고의적 상업 활용 사례보다 더 큰 액수는 형평성에 맞지 않는다”고 했습니다.
 과징금은 단순한 숫자가 아닙니다. 형식 논리에 갇힌 제도는 기업에 실질적 보안 강화를 요구하기보다는 신고를 주저하게 만드는 역설을 낳습니다. 
 개인정보보호법이 던져야 할 메시지는 “얼마를 때렸는가”가 아니라 “얼마나 지켜냈는가”여야 하지 않을까요?
 자진 신고마저 위축시키는 구조
 더 큰 문제는 해킹 피해 기업들의 자진 신고를 위축시킬 수 있다는 점입니다. SK텔레콤은 즉각 신고했고 서버 분리 등 조치도 취했지만, 결과는 달라지지 않았습니다. 반면 유럽 일반정보보호법(GDPR)은 자진 신고 시 80~90% 감경을 허용합니다. 
 이대로라면 기업들이 “신고하면 손해만 본다”며 은폐를 선택할 가능성이 큽니다. 실제로 과기정통부·한국인터넷진흥원(KISIA)의 ‘2024 정보보호 실태조사’에 따르면, 침해 사고를 겪은 기업 중 관계 기관에 신고한 비율은 19.6%에 불과했습니다. 여전히 낮은 수치죠.
 남은 숙제는 법 개정
 데이터 시대, 기업의 고객 정보 보호 책임을 강화하려는 취지 자체는 정당합니다. 그러나 절차적 숙의와 형평성이 담보되지 않는다면 사회적 신뢰는 흔들립니다.
 인공지능과 데이터 활용이 국가 경쟁력의 핵심이 된 지금, ‘과징금 공포’만 남기는 제도는 기업들을 뒤로 숨게 만들고 정보보호 투자를 위축시킬 수 있습니다.
 이제 필요한 것은 명확합니다. 기업 해킹시 개인정보보호법의 감경 기준과 산정 체계를 합리적으로 고쳐 해킹 피해 기업이 은폐가 아닌 보안 역량 강화로 나아갈 수 있는 환경을 만드는 일입니다. 중요한 것은 과징금 액수가 아니라 개인정보를 실질적으로 지켜내는 제도의 힘이라고 생각합니다.
 김현아 (chaos@edaily.co.kr) 
 </section> 
 </div> 
 Copyright © 이데일리. 무단전재 및 재배포 금지.

이전

전공의 1년 반 만에 복귀…의료공백 해소될까

08-31
다음

한국 남자하키, 말레이시아에 1-4 역전패...아시아컵 4강 진출 불투명

08-31

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

천억대 과징금의 역설, 무엇을 지키려는가 [김현아의 IT세상읽기]

멤버랭킹

관련자료

멤버랭킹