|
국내에서 대규모 개인정보 유출 사건이 발생하면 어김없이 '어떤 책임을 지는가'에 대해 관심이 쏠린다. 지난달 국내 대표 결혼정보회사 듀오의 정회원 43만여명의 민감 정보가 유츨된 사실이 밝혀졌을 당시 일부 언론에서는 과징금 기준이 너무 낮다는 점에 주목했다. 업체 특성상 개인의 직업, 소득 수준, 성향 등 밀도가 높은 정보가 유출돼 그 피해가 막중한데도, 지난해 통신사 등 다른 대기업이 털렸을 때보다 미미한 처분을 받았기 때문이다. 실제로 현행 개인정보보호법상 보안 실패로 인한 과징금은 정보주체의 매출액을 주된 기준으로 삼기 때문에 법적으로 비례 원칙에 위반된다는 주장은 타당하다. 그러나 이는 단순히 사법적 처분에 대한 이야기에 그친다.
개인정보 유출 사태의 핵심은 '애초에 발생하지 말아야 하는 사고'라는 점이다. 디지털 공간에 한 번 쏟아진 정보는 끊임없이 재생산되며, 누가 어디에 저장해두고 있는지 추적도 할 수 없다. 이러한 사고에 '사후' 대책이라는 것은 없다. 손해배상과 과징금 수준을 아무리 높여도 이미 유출된 정보에 의한 잠재적 피해는 예측할 수도, 보상할 수도 없다. 당장 눈앞의 피해가 보이지 않아도, 국가 배후 해커 집단까지 기를 쓰고 우리 정보를 털려고 하는 데에는 분명히 이유가 있다. 향후 외교·안보적 리스크까지 번질 가능성이 충분하다는 것이다. 개인정보 유출 사태를 '법적 책임만 지면 될 일'로 여기는 것이 우려스러운 이유다.
최근 해커가 며칠씩 걸리던 해킹을 AI가 단 몇 시간만에 해내는 등 사이버 위협이 고조되고 있는 상황에서도 우리 사회는 여전히 사전 방어를 등한시하고 있다. 2020년 8월부터 개인정보보호위원회(개인정보위)가 장관급 중앙행정기관으로 출범한 이후로도 5년간 민간과 공공에서 모두 2억건에 달하는 개인정보가 유출됐다. 개인정보위는 2023년부터 매년 공공기관의 개인정보 보호수준을 평가한다. 자체 평가 비중이 60%인 '보여주기'식 평가로, 기관들이 좋은 등급을 받았다며 보도자료를 내는 '자화자찬' 용도에 그친다. 실상은 대규모 유출 사고가 발생해도 중간 수준의 등급을 받는 평가다. 평가 자료를 제출할 의무도, 평가에 의한 권고사항을 이행할 의무도 없다.
민간 기업의 보안 수준을 국가가 사전에 점검할 수 없고, 공공기관은 의미 없는 조치뿐이다. 이 때문에 민간과 공공 부문 모두 보안 관련 사업에 많은 예산을 투자할 의지가 없다. 안보 위협까지 이어지는 정보를 지녔음에도 예방책을 각자 의지에 맡긴 결과다. 이는 '밑져야 본전'이라는 분위기 속 '유출 사고가 터졌을 때만 책임지면 된다'는 풍토로 이어질 우려가 있다. 그러나 개인정보 유출 사태에 실질적 '책임'을 질 수 있는 주체는 없다. 이미 쏟아진 정보는 주워 담을 수 없다.
