[윤영숙의 시선] 이번엔 쿠팡…사후약방문 대응만

(서울=연합인포맥스) 한국 사회에서 개인정보 대량 유출은 더 이상 이례적인 사건이 아니다. 이제는 대형 IT·통신·금융 기관들이 계절별로 돌아가며 털리는 악순환이 일상화됐다.

SK텔레콤이 올해 4월 대규모 정보 유출로 과징금 처분을 받은 지 얼마 지나지 않아 KT에서 불법 초소형 기지국(펨토셀)을 악용한 소액결제 피해 사건이 벌어졌다. 이어 LG유플러스에서도 내부 계정이 해킹됐다는 제보가 나왔으며 뒤늦게 이를 당국에 보고하며 논란이 됐다.

통신업체뿐 아니라 게임업체 넷마블에서도 외부 해킹으로 고객과 PC방 가맹주, 전현직 임직원 정보가 유출됐으며, 가상자산거래소 업비트는 해킹으로 회원들의 가상자산이 직접 탈취당하기까지 했다.

최근엔 전자상거래업체 쿠팡이 3천만개가 넘는 고객 계정 정보가 유출됐다고 공개하며 대표이사가 고개를 숙였다. 모두 올해 벌어진 일이다. 이 정도면 한국 전체의 보안 체계가 구조적으로 문제가 있다는 소리로 들린다.

정부는 곧바로 긴급 대책회의를 열었으며, 국회는 초대형 보안 참사라며 비판을 쏟아냈다. 당장 오늘은 국회에서 쿠팡 대표와 유관 기관 관계자들을 불러 긴급현안 질의도 진행한다.

사고가 발생하면 태스크포스(TF)를 꾸리고, 현장 점검을 지시하고, 재발 방지 대책을 발표하는 게 새삼스럽지 않다. 하지만 시간이 지나면 잊히고, 결국 또다시 유사한 사고가 발생한다. 사후약방문식 대응이 한국 보안정책의 기본 패턴이 됐다.

이번 쿠팡 사태에서는 대통령실까지 강하게 문제를 제기했다. 강훈식 대통령 비서실장은 수석보좌관회의에서 "징벌적 손해배상 제도가 사실상 작동하지 않고 있다"고 지적하며 제도 강화 방안을 검토해달라고 주문했다.

현행 개인정보보호법에서는 고의·중과실 유출시 최대 5배의 징벌 배상을 규정하고 있지만 실제 적용된 판례는 거의 없는 현실을 지적한 것이다. 제도가 아무리 있어도 기업이 실제로 '무서워할 수준'으로 작동하지 않으면 의미가 없다.

해외 사례를 보면 그 차이는 더욱 분명해진다. 미국에서는 개인정보 유출이 발생하면 대규모 집단소송이 즉시 제기되고, 기업은 대규모 합의금으로 소송을 마무리하는 경우가 대부분이다.

대표적으로 신용평가사 에퀴팩스(Equifax)는 1억4천700만 명의 정보 유출 사고로 7억 달러(약 9천억 원) 배상에 합의해야 했고, T모바일은 고객의 개인정보 유출로 3억5천만달러(약 5천억원)의 합의금을 냈다.

유럽의 개인정보보호법(GDPR)도 마찬가지다. 위반 시 전 세계 매출의 최대 4% 또는 2천만 유로 중 큰 금액을 과징금으로 부과할 수 있다. 메타·아마존·구글 등 글로벌 기업들이 조 단위 벌금을 실제로 부과받았다.

징벌적 손해배상이 제대로 작동하게 되면 기업들은 스스로 보안 투자에 나설 수밖에 없는 환경이 조성된다.

우리 정부는 현재 과징금 규모를 강화하는 방안을 검토 중이다. 국회에서도 매출액의 3%로 징벌적 과징금을 부과하는 방안 등이 발의된 상태다. 다만 징벌적 과징금을 부과 규정을 두면서도 제도가 제대로 작동하지 않으면 아무 소용이 없다. 우리의 핵심 문제는 처벌의 강도가 아니라 사전 예방 체계의 부재에 있다.

SK텔레콤·KT·LG유플러스·쿠팡 모두 공통으로 침해됐다는 사실조차 오랜 기간 스스로 인지하지 못했기 때문이다. 탐지 시스템, 로그 관리, 접근 통제 등 기본적인 보안관제가 제대로 작동하지 않았다. 즉, 해킹이 문제가 아니라 해킹을 '발견하지 못한 것이' 더 큰 문제였다.

아무리 과징금과 법적 책임을 강화해도, 기업이 사고 발생 전 보안에 투자하지 않으면 효과는 없다. 미국과 유럽이 강력한 제재를 유지하면서도 사고를 줄일 수 있었던 이유는 제재의 강도뿐 아니라 기업이 사전 예방을 필수적 비용이 아닌 '생존 비용'으로 인식하게 만드는 구조가 뒷받침되었기 때문이다.

한국도 이제는 사고가 난 뒤 대책을 발표하는 방식에서 벗어나야 한다. 더 이상 "또 유출됐다"며 체념하지 않기 위해서는 보안정책이 사후약방문에서 사전 예방 중심으로 전환돼야 한다. 지금 필요한 것은 새 법안보다 사전에 구조적으로 보안을 지키려는 국가적 의지와 기업들의 책임 있는 행동력이다. (산업부 차장)

ysyoon@yna.co.kr