[지디넷코리아]
최근 쿠팡에서 3천370만 명 규모의 개인정보가 유출된 사실이 알려지면서 사회적 충격을 불러일으켰다. 이름, 전화번호, 배송지, 주문 내역 등 생활의 거의 모든 흔적이 포함된 정보가 장기간 해외 서버를 통해 새나간 것으로 조사됐다. 그러나 대중의 반응은 놀라움보다 피로감에 가깝다. 이는 지난 10여 년간 한국 사회가 동일한 장면을 반복적으로 마주해왔기 때문이다.
2014년에는 KB국민·롯데·NH농협카드 등 주요 카드사에서 1억 건이 넘는 정보가 한 번에 유출되었다. 같은 해 SK텔레콤·KT·LG유플러스 등 통신 3사에서도 1천200만 명의 고객정보가 털렸다. 2023년에는 LG유플러스에서 30만 건의 정보가 새어 나갔고, 2025년에는 SK텔레콤에서 USIM 정보 일부가 해킹으로 유출된 사실이 드러났다. 사건의 주체만 바뀌었을 뿐, 사과문·정부 조사·보안 강화 약속이라는 반복적 시나리오는 거의 달라지지 않았다.
물론 제도적 변화가 없었던 것은 아니다. 카드 3사 사태 이후 ‘개인정보보호법’ 개정을 통해 징벌적 손해배상과 법정손해배상 제도가 도입됐고, 감독당국의 조사·제재 권한도 강화됐다. 그러나 이런 변화에도 불구하고 사고는 끊임없이 반복되고 있다. 과징금은 기업의 매출 규모와 리스크에 비해 여전히 낮게 부과되는 경향이 있으며, 피해자 구제는 느리고 어렵고, 기업의 보안 투자는 여전히 후순위로 밀린다. 법의 문구는 강화됐지만 기업의 행동을 바꿀 만큼 구조적 유인은 충분하지 않았다는 뜻이다.
해외 사례는 한국이 어디로 가야 하는지 방향을 제시한다. 미국 에퀴팩스는 1억4천만 명의 민감 정보 유출 이후 13억 달러가 넘는 비용을 부담하며 기업 전체의 보안 체계를 새로 정비했다. 유럽의 GDPR은 기업 매출의 일정 비율에 해당하는 고액 과징금을 실제로 부과하며, 개인정보보호를 ‘규정 준수 항목’이 아니라 ‘경영 리스크 관리의 중심’으로 끌어올렸다. 처벌 수위만의 문제가 아니라, 기업이 스스로 구조를 바꿀 수밖에 없게 만드는 제도 설계의 결과다.
이제 한국도 “사고가 나면 조사하고, 과징금 부과하고, 재발방지 대책 발표하는” 사후 대응 패턴을 넘어서야 한다. 개인정보보호를 사전에 관리하고, 위험을 줄이는 방향으로 제도를 재설계할 필요가 있는 것이다. 그 방향은 최소한 다음 네 가지 축으로 정리할 수 있다.
첫째, 준비된 조직만이 위험에 대응할 수 있다. 취약점 관리, 인증 체계, 접근 통제 등 기본적 보안 수준이 갖춰져 있어야 하며 이를 객관적으로 평가·보고하도록 하는 사전적 규율이 필요하다. 서류상의 보안 규정이 아니라, 실제 시스템과 운영 절차가 주기적으로 검증되는 구조여야 한다.
둘째, 기업의 보안 수준을 경제적 요소와 직접 연결해야 한다. 기업의 보안 수준을 보험료·감사 비용·인증 혜택 등과 연동해, 예방적 투자가 이익이 되는 구조로 바꿔야 한다. 위험을 줄이면 비용이 내려가고, 위험을 방치하면 비용이 올라가는 방향으로 설계해야 기업이 자발적으로 보안 투자를 확대하게 된다.
셋째, 경영진 책임이 명확히 부과되는 거버넌스가 필요하다. 책임이 현장에서 분산되는 한 기업은 보안 투자를 항상 후순위로 둘 것이다. 개인정보보호를 단순히 IT 부서의 업무로 두지 않고, 이사회와 최고경영진의 책임과 평가 항목에 포함해야 한다. 그래야만 보안이 비용이 아니라 경영과제의 일부로 다뤄진다.
넷째, 사고 은폐나 늑장 신고에 대해 더 강력한 제재를 적용해야 한다. 정보공개와 초기 대응 속도가 곧 피해 규모를 결정하기 때문이다. 늑장 신고가 오히려 더 큰 규제 리스크를 초래한다는 인식이 자리 잡도록, 신고 지연과 은폐에 대해서는 별도의 가중 처벌 체계를 마련할 필요가 있다.
이번 논란이 보여주는 바는 분명하다. 개인정보유출 문제에서 징벌적 배상은 절대 무시할 수 없는 핵심 장치다. 기업이 최소한의 책임 의식을 갖도록 하는 강한 억제력으로 작동하기 때문이다.
그러나 그것만으로 사고의 반복을 막을 수는 없다. 징벌적 배상과 더불어, 사전에 위험을 낮추기 위한 보안 투자와 거버넌스 강화가 함께 이뤄져야 한다. 위험 수준에 따라 보험료·감사·인증 비용이 달라지는 구조를 설계해 기업이 예방적 조치를 경제적 이득으로 인식하게 만드는 것이 중요하다. 결국 지속 가능한 개인정보보호의 해답은 사후 처벌과 사전 예방이 균형을 이루는 구조를 구축하는 데 있다.