해킹·개인정보 유출 ‘징벌적 과징금’ 칼 빼든 정부, 핵심 쟁점은?

정부가 중대한 피해를 초래한 해킹·개인정보 유출 사고를 반복적으로 낸 기업을 대상으로 징벌적 과징금 도입을 추진하면서, 제재 강도와 함께 실제 적용 범위를 둘러싼 논의가 본격화되고 있다.

정부는 “처벌이 목적이 아니라 보안 투자와 체계 전환을 위한 장치”라고 설명하지만, 산업계에서는 이중 제재와 신고 위축 가능성을 우려하는 목소리도 나온다.

과학기술정보통신부(이하 과기정통부)와 개인정보보호위원회(이하 개인정보위)는 지난 12일 열린 2026년도 업무보고에서 반복 침해사고 기업에 대한 징벌적 과징금 도입 방침을 각각 제시했다.

과기정통부는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’ 체계에서 반복적인 사이버 침해사고를 낸 전체 매출액의 최대 3% 과징금을 부과하는 방안을 추진 중이다. 개인정보위는 개인정보보호법 체계에서 반복·중대한 위반 행위에 대해 전체 매출액의 최대 10%까지 과징금을 부과하는 특례를 신설하겠다고 밝혔다.

이날 업무보고에 참석한 이재명 대통령은 “해킹과 개인정보 유출로 피해를 입은 국민이 개별 소송에 나서기엔 부담이 크다”며 집단소송 제도 도입을 언급하고, 기업의 책임을 강화하는 입법 논의에 속도를 내달라고 주문했다. 정부 차원에서 기업의 책임을 강화하는 기조가 분명히 드러난 대목이다. 두 제도는 각각 다른 법 체계에서 추진된다. 그럼에도 실제 사고 현장에서는 해킹과 개인정보 유출이 동시에 발생하는 경우가 많아, 기업 입장에서는 제재 총량과 적용 경계가 불분명하다는 우려도 나온다.

정부 과징금 목적 아니라 보안 투자 강화 위한 것

정부는 징벌적 과징금이 처벌만을 위한 정책은 아니라는 점을 거듭 강조한다. 배경훈 부총리 겸 과기정통부 장관은 최근 가진 기자간담회에서 “해킹 사고는 디지털 전환과 인공지능(AI) 전환이 가속되는 환경에서 반복적으로 발생할 수밖에 없다”며 “과징금 자체가 목적이 아니라, 기업과 사회 전반이 정보보호 체계를 다시 세우게 만드는 계기가 돼야 한다”고 말했다.

그는 “그동안 기업과 정부 모두 사업 성과와 효율성에 지나치게 초점을 맞춰 왔다면, 이제는 정보보호에 대한 투자가 불가피한 시점”이라며 “민간이 정보보호를 비용이 아닌 필수 투자로 인식하도록 유도하는 정책적 신호”라고 설명했다. 과기정통부가 내년도 정보보호 관련 예산을 올해보다 약 17% 늘리겠다고 밝힌 것도 같은 맥락이다.

송경희 개인정보위 위원장도 “사후 제재 중심의 개인정보 보호 체계는 이미 한계를 드러냈다”며 “반복·중대한 위반에 대해서는 강력한 억지력을 확보하되, 보호 투자와 예방 노력을 촉진하는 방향으로 제도를 근본적으로 전환하겠다”고 밝혔다. 개인정보위는 과징금 강화와 함께 피해 회복, 예방 투자, 기술 지원을 묶은 정책 패키지를 구상하고 있다.

다만 정부가 언급한 매출액 연동형 징벌적 과징금은 현재 즉시 적용되는 제도는 아니다. 현행 개인정보보호법과 정보통신망법 체계에서는 과징금이 기업의 전체 매출액이 아니라 위반행위와 직접 관련된 매출액을 기준으로 산정되는 것이 원칙이다. 관련 매출액 산정이 어려운 경우에는 법에서 정한 정액 상한 내에서 과징금이 부과된다.

양 부처가 밝힌 ‘매출액 3%’와 ‘매출액 최대 10%’ 과징금은 기존 제도로는 반복적이고 중대한 사고에 대한 억지력이 부족하다는 문제의식에서 나온 입법 전제의 정책 구상이다. 실제 부과 여부와 수준은 향후 국회 논의와 하위 법령 설계에 따라 달라질 수 있다.

제도 추진 시기와 관련해서 과기정통부는 반복 침해사고 기업에 대한 징벌적 과징금을 내년 상반기 중 추진 과제로 제시한 상태다. 반면 개인정보위가 추진하는 반복·중대 위반 시 과징금 상향 특례는 구체적인 시행 시점을 아직 특정하지 않고, 향후 국회 입법 논의와 제도 설계 과정을 지켜보며 단계적으로 추진하겠다는 입장이다.

쿠팡에 10% 징벌적 과징금 적용되면?

징벌적 과징금 논의가 추상적인 제도 논의를 넘어 현실적인 무게를 갖는 이유는 최근 잇따른 대형 사고 사례 때문이다. 특히 쿠팡의 개인정보 유출 사고를 계기로 “새로운 제도가 적용되면 과징금은 어느 수준까지 갈 수 있느냐”는 질문이 업계 안팎에서 제기되고 있다.

쿠팡의 2023년 연결 기준 매출은 약 31조원이다. 이를 기준으로 개인정보위가 언급한 ‘반복·중대 위반 시 매출액 최대 10% 과징금 특례’를 가정 적용하면, 법 이론상 최대 3조원 안팎의 과징금이 산출될 수 있다는 해석도 나온다. 다만 이는 고의 또는 중과실 인정, 위반의 반복성, 피해의 중대성 요건이 모두 충족된다는 전제하에서만 가능한 가정이다.

염흥렬 순천향대 정보보호학과 명예교수는 “개인정보위가 언급한 10%는 실제 부과 금액이라기보다 제도의 상한선을 보여주는 상징적인 수치”라며 “현실에서는 사고의 경위, 기업의 사전 보호 조치, 사후 대응 수준이 종합적으로 고려될 수밖에 없다”고 말했다. 그는 “다만 상한이 이 정도로 높아지는 것만으로도 기업 입장에서는 제재 리스크가 경영 판단의 핵심 변수로 올라오게 된다”고 덧붙였다.

이상직 인터넷법제포럼 의장(변호사)은 “매출 연동형 과징금은 법적으로 매우 강한 수단”이라며 “침해사고 제재와 개인정보 유출 제재가 동시에 작동할 경우, 보호 법익이 명확히 구분되지 않으면 위헌 논란이 불거질 소지가 있다”고 지적했다. 그는 “하위 법령에서 적용 요건과 범위를 정교하게 설계하지 않으면 제도 자체가 법적 다툼의 대상이 될 수 있다”고 말했다.

해외에서는 매출 연동형 과징금이 이미 현실이다. 유럽연합(EU)은 일반개인정보보호법(GDPR)을 통해 매출액의 최대 4% 또는 2000만유로(약 300억원) 중 큰 금액을 과징금으로 부과할 수 있도록 하고 있다.

대표적인 사례가 메타다. 메타는 2023년 개인정보의 역외 이전 문제로 12억유로(약 1조8000억원)의 과징금을 부과받았다. 아마존 역시 쿠키 동의 절차 위반으로 7억4600만유로(약 1조1000억원)의 과징금을 맞았다. 다만 모든 징벌적 과징금이 최대치로 귀결된 것은 아니다. 영국 정보위원회(ICO)의 경우, 기업이 조사에 성실히 협조하고, 보안 개선 계획을 구체적으로 제출한 경우 과징금을 대폭 감경한 사례도 있다.

염 교수는 “GDPR의 핵심은 처벌 그 자체가 아니라, 사고 이후 기업이 얼마나 책임 있게 개선했는지를 평가하는 구조”라며 “한국도 과징금 상한을 높이려면 감경과 인센티브 체계를 동시에 설계하지 않으면 제도 저항이 커질 수 있다”고 말했다

법 개정 세부사항이 관건국회도 속도

현재 국회는 정보통신망법과 개인정보보호법 체계에서 반복 침해사고 기업에 대한 제재를 강화하는 입법 논의를 병행하고 있다. 정보통신망법 개정 논의의 경우, 국회 과학기술정보방송통신위원회 소속 이주희 더불어민주당 의원이 대표 발의한 법안을 포함해 복수의 개정안을 종합·조정한 위원회 대안이 마련됐다.

이 대안은 해킹 등 침해사고를 은폐하거나 신고를 지연한 사업자에 대해 매출액의 최대 3%까지 과징금을 부과할 수 있도록 하는 근거를 신설하는 내용을 담고 있다. 구체적으로는 ▲침해사고를 신고하지 않거나 지연 신고한 경우 ▲조사 과정에서 자료 제출을 거부·방해하거나 거짓 자료를 제출한 경우 ▲조사 명령을 위반한 경우 등에 대해 대통령령으로 정하는 매출액의 100분의 3 이하(3%) 과징금을 부과할 수 있도록 했다.

해당 개정안은 이주희 의원안을 포함한 복수의 의원안이 반영된 ‘정보통신망법 일부개정법률안’ 형태로 지난 3일 국회 법제사법위원회를 통과했다.

개인정보보호법 체계에서도 매출액 연동형 과징금 상한을 높이는 개정안이 국회에 제출돼 있다. 박범계 더불어민주당 의원이 지난 9일 대표 발의한 개정안은 반복·중대한 개인정보보호법 위반 행위에 대해 매출액의 최대 10%까지 과징금을 부과하도록 하는 특례를 담고 있다. 이 개정안은 12월 중 국회 소위원회에서 검토가 진행되는 등 논의가 이어지고 있는 상황이다.

개인정보위 관계자는 “세부적인 적용 기준은 앞으로 만들어 가야 할 부분이지만, 개인정보 유출 관련 과징금 기준을 강화하는 큰 방향성은 분명하다”며 “특히 반복적이고 중대한 고의·중과실 사고에 대해서는 기존 제재로는 한계가 있다는 공감대가 있다”고 말했다. 이어 “국회서 논의 중인 법 개정 현황과 맞춰 제도를 추진해갈 예정”이라고 덧붙였다.

강한 제재 필요하지만, 산업계 반발 우려도

실제로 쿠팡 사태는 왜 강력한 제재가 필요한지, 그리고 기존의 솜방망이 처벌이 얼마나 무력했는지를 드러냈다. 쿠팡에서는 2021년부터 세 차례나 유출 사고가 반복됐고, 지난해에는 16만명의 정보 유출로 약 16억원의 과징금을 부과받기도 했다. 그러나 제재 이후 보안 체계가 개선되기는커녕, 불과 1년 만에 직전 사고의 300배에 달하는 대규모 유출 사태가 재발했다. 이는 기존의 제재 수단이 사고 예방이나 실질적인 관리 감독 강화로 이어지지 못했음을 보여준다. 반복적이고 중대한 사고를 막기 위해서라도 기업이 감내하기 힘들 수준의 강력한 징벌적 제재가 불가피하다는 지적이 나오는 이유다.

다만, 제재 수위가 높아질수록 산업계의 우려도 함께 커지고 있다. 징벌적 과징금이 반복 침해와 정보 유출 사고에 대한 억지력을 높이겠다는 취지로 설계되고 있지만, 현장에서는 제재가 중첩되거나 기준이 불명확해질 경우 오히려 신고와 협조를 위축시킬 수 있기 때문이다.

이러한 우려가 현실화된 것이 바로 최근 SK텔레콤의 사례다. 개인정보위는 SK텔레콤의 대규모 개인정보 유출 사고에 대해 약 1348억원의 과징금을 부과했고, 개인정보분쟁조정위원회는 피해자 1인당 30만원의 배상 조정안을 의결했다. 이에 대해 SK텔레콤은 과징금 부과 기준이 모호하다며 불복 의사를 밝힌 바 있다. 이 사례는 징벌적 과징금이 본격 도입될 경우, 행정 제재와 손해배상, 집단소송 가능성까지 한꺼번에 충돌할 수 있음을 보여주는 신호다. 

이상직 KISA 인터넷법제포럼 의장(변호사)은 “해킹과 개인정보 유출이 동시에 발생하는 사고 구조에서 제재 체계가 정교하게 구분되지 않으면, 결과적으로 하나의 사고에 여러 제재가 겹쳐 부과되는 것처럼 인식될 수 있다”고 짚었다. 그는 “이 경우 기업 입장에서는 신속 신고가 오히려 법적 리스크를 키우는 선택으로 받아들일 가능성도 있다”며 “징벌적 과징금의 억지력을 살리려면 반복성과 중대성 판단 기준을 명확히 하고, 성실한 신고와 협조에 대해서는 감경이 가능한 구조를 법에 함께 담아야 한다”고 강조했다.

정부는 정보통신망법과 개인정보보호법에 따른 제재가 엄연히 ‘별개 트랙’이라고 하지만, 현실에서는 두 제도가 깔끔하게 분리되지 않을 수 있다는 것이 전문가들의 우려다. 이에 ▲반복의 기간과 횟수 ▲중대성 판단 요소 ▲성실 신고와 협조에 대한 감경 ▲사후 보안 투자에 대한 인센티브도 징벌적 과징금과 함께 설계돼야 할 필요가 있어 보인다.

곽진 아주대 사이버보안학과 교수는 “징벌적 과징금을 통해 처벌을 강화하면 기업들이 일시적으로 경각심을 가지는 등 단기 효과는 있을 수 있지만, 근본적인 보안 수준 향상으로 이어질지는 미지수”라며 “보안 투자가 실제로 이뤄질 수 있는 정교한 생태계 설계가 병행돼야 한다”고 조언했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.