대형 플랫폼에서 수천만 명 규모의 개인정보 유출 사건이 반복되면서 이용자 불안도 커지고 있다. 개인정보 유출은 단순한 정보 관리 실패를 넘어 2차 피해와 신뢰 훼손으로 이어질 수 있다는 점에서 사회적 파장이 크다.
특히 사고가 발생할 때마다 기업의 보안 책임, 피해자 구제의 실효성, 해외 플랫폼에 대한 집행 가능성 등 법·제도 전반의 한계가 함께 드러난다는 지적이 나온다.
김상균 변호사는 개인정보 보호 의무는 단순한 권고가 아니라 법적 책임의 영역이라고 강조한다. 대규모 이용자 정보를 보유한 플랫폼이라면 그에 상응하는 보안 수준과 관리 체계를 갖춰야 하고, 유출 사고가 반복된다면 이는 기업의 관리 책임과 제재 구조를 다시 점검해야 한다는 신호라는 것이다.
그는 “대형 유출 사건에서는 형사·민사·행정 책임이 동시에 문제 될 수 있지만, 실제로는 개별 이용자가 피해를 입증하고 배상을 받기까지 높은 장벽이 존재한다”며 “반복을 막으려면 제재의 확실성과 피해 구제의 실효성을 함께 높여야 한다”고 말했다. 다음은 김상균 변호사와의 일문일답이다.
Q. 최근 대형 플랫폼에서 수천만 명 규모의 개인정보 유출 사건이 잇따르면서 이용자 불안이 커지고 있습니다. 이번 상황을 어떻게 보십니까?
A. 단순히 유출 규모가 크다는 점만이 아니라, 이런 사건이 반복되고 있다는 사실 자체가 더 큰 문제라고 생각합니다. 개인정보 보호 의무는 기업이 선택적으로 따를 수 있는 권고 수준이 아니라, 명확한 법적 책임의 영역입니다.
특히 대형 플랫폼이 막대한 양의 개인정보를 보관하고 있다면 그에 걸맞은 보안 수준과 관리 체계를 갖출 의무가 있습니다.
이용자 입장에서는 자신의 정보가 어디서 어떻게 쓰이고 있는지 제대로 알기 어려운 상태에서 피해를 입게 되는 경우가 많습니다.
더구나 유출된 정보는 스팸, 사기, 계정 탈취 같은 2차 피해로 이어질 가능성도 높기 때문에 단순한 불편의 문제가 아닙니다. 결국 이번 사안은 플랫폼의 개인정보 관리 책임을 다시 점검하는 계기가 되어야 한다고 봅니다.
Q. 개인정보 유출 사건에서 기업의 관리 소홀 여부는 어떤 기준으로 판단됩니까?
A. 유출 사고가 발생했다고 해서 곧바로 기업의 책임이 자동으로 인정되는 것은 아닙니다. 핵심은 사고 당시 기업이 개인정보보호법상 요구되는 기술적·관리적 보호 조치를 실제로 적정하게 이행했는지 여부입니다.
예를 들어 암호화가 제대로 이뤄졌는지, 접근 권한 관리가 적절했는지, 외부 침입을 탐지하고 차단하는 시스템이 갖춰져 있었는지 등이 주요 판단 요소가 됩니다. 이런 조치가 미흡했다면 관리 소홀로 인정될 가능성이 높아집니다.
반대로 필요한 보호 조치를 상당 부분 갖췄음에도 고도화된 외부 공격으로 피해가 발생한 경우라면 책임의 범위는 달라질 수 있습니다. 결국 당시 보안 수준이 법과 업계 표준에 비춰 충분했는지가 판단의 핵심이라고 볼 수 있습니다.
Q. 개인정보 유출 사건에서 기업이 실제로 부담하게 되는 법적 책임은 어떻게 나뉩니까?
A. 크게 보면 형사 책임, 민사 책임, 행정 제재로 나눠볼 수 있습니다. 형사 책임은 국가가 기업이나 담당자에게 법 위반에 따른 처벌을 가하는 영역입니다.
고의적인 유출이나 제3자 제공처럼 위법성이 큰 경우에는 더 무거운 책임이 문제 될 수 있지만, 단순한 관리 소홀만으로 형사 책임까지 이어지는 경우는 상대적으로 제한적입니다.
민사 책임은 피해를 입은 이용자들이 기업을 상대로 손해배상을 청구하는 영역입니다. 개인정보 유출은 실제 피해액을 개별적으로 입증하기 쉽지 않기 때문에 법정 손해배상 제도가 의미를 갖지만, 피해자가 많고 사건 규모가 클수록 기업이 부담하게 되는 잠재적 배상 규모는 상당히 커질 수 있습니다.
여기에 개인정보보호위원회의 과징금, 과태료, 시정명령 같은 행정 제재도 함께 문제 됩니다. 결국 대형 유출 사건에서는 기업이 형사·민사·행정 책임을 동시에 마주할 수 있고, 그 부담은 유출 규모와 관리 소홀의 정도에 따라 크게 달라질 수 있습니다.
Q. 피해 규모는 큰데도 실제로 개별 이용자가 배상을 받기까지는 높은 장벽이 있다는 지적이 많습니다. 어떤 한계가 있다고 보십니까?
A. 가장 큰 문제는 피해 입증 구조입니다. 이용자는 자신의 정보가 유출됐다는 사실뿐 아니라, 그 유출로 인해 구체적으로 어떤 손해가 발생했는지까지 입증해야 하는 경우가 많습니다.
하지만 개인정보 유출은 당장 눈에 보이는 금전 피해가 드러나지 않더라도 장기적인 위험을 초래할 수 있기 때문에 손해를 명확하게 산정하기가 매우 어렵습니다.
법정 손해배상 제도가 존재하긴 하지만, 개별 이용자 입장에서는 소송 비용과 시간에 비해 실제 청구 가능 금액이 크지 않다고 느껴 소송에 나설 유인이 낮아질 수 있습니다. 여기에 일반적 집단소송 제도의 부재도 한계로 지적됩니다.
피해자가 수천만 명에 이르더라도 실제로는 개별적으로 대응해야 하는 부담이 남아 있기 때문입니다.
결국 현재 제도는 피해자 구제보다 기업의 법적 부담을 상대적으로 제한하는 방향으로 작동하는 측면이 있습니다. 피해 입증 부담을 줄이고, 집단적 권리 구제 수단을 강화하는 방향의 개선이 필요하다고 생각합니다.
Q. 해외 플랫폼에도 국내 플랫폼과 같은 책임 기준을 적용하는 것이 현실적으로 가능하다고 보십니까?
A. 원칙적으로는 그렇게 되어야 하고, 법도 그런 방향으로 설계돼 있습니다. 국내 이용자의 개인정보를 처리하는 해외 사업자라면 본사가 어디에 있든 국내 개인정보보호법의 적용 대상이 된다는 것이 기본 원칙입니다.
문제는 현실적인 집행입니다. 해외 법인을 상대로 과징금을 실제로 집행하거나, 수사 협조와 자료 제출을 강제하는 데에는 여러 한계가 있습니다. 국내 대리인 지정 의무 같은 보완 장치가 도입되긴 했지만, 대형 해외 플랫폼의 실질적 책임을 묻기에는 아직 충분하지 않다는 지적이 나옵니다.
결국 제도의 설계와 실제 집행 사이에 간극이 존재하는 셈입니다. 해외 플랫폼에도 동일한 책임 기준을 실질적으로 관철하려면 국제 공조 체계와 집행 수단이 함께 강화될 필요가 있습니다.
Q. 마지막으로 대규모 개인정보 유출 사건이 반복되지 않으려면 법·제도적으로 어떤 보완이 가장 시급하다고 보십니까?
A. 가장 시급한 과제는 사후 제재의 실효성을 높이는 일이라고 생각합니다. 유출이 발생한 뒤 책임을 묻더라도 기업이 그 부담을 감수 가능한 비용 정도로 받아들인다면 예방 효과는 제한적일 수밖에 없습니다. 위반으로 얻는 이익보다 제재가 훨씬 크다는 인식이 분명해야 기업도 선제적으로 보안에 투자하게 됩니다.
동시에 사전 의무도 강화할 필요가 있습니다. 일정 규모 이상의 개인정보를 보유한 기업에 대해서는 정기적인 보안 점검, 취약점 관리, 내부 통제 의무를 보다 엄격하게 요구하는 방향을 검토할 수 있습니다. 사고가 난 뒤에 수습하는 것보다, 사전에 위험을 줄이는 구조가 더 효과적이기 때문입니다.
피해자 구제 절차의 실효성도 함께 높여야 합니다. 피해 입증 부담을 완화하고 집단적 권리 구제 수단을 강화하지 않으면 대규모 피해가 발생해도 실제 구제는 제한적으로 이뤄질 수밖에 없습니다.
결국 개인정보를 소홀히 다루는 것이 감수할 수 없는 리스크라는 인식을 기업에 심어주는 것, 그리고 피해자가 실질적으로 구제받을 수 있는 구조를 만드는 것이 반복을 막는 핵심이라고 생각합니다.
