개인정보 유출 사고, 영국은 2700억원, 한국은 1500만원
  • 방승민 영국 통신원 (sisa@sisajournal.com)
  • 승인 2019.08.08 08:00
  • 호수 1555
이 기사를 공유합니다

기업의 개인정보 유출 사고를 대하는 영국과 한국의 자세

지난해 8월경, 영국의 대표 국적기 항공사인 ‘영국항공(British Airways)’의 고객 50만여 명의 정보가 유출되는 사고가 발생했다. 이는 현재 영국이 속한 EU(유럽연합)의 GDPR(General Data Protection Regulation·일반 개인정보보호법) 위배로, 한국의 방송통신위원회에 해당하는 영국 정보위원회 ICO는 관련 처벌 기준에 따라 1억8300파운드, 한화로 약 2700억원의 벌금을 부과했다. ICO의 조사에 따르면 이번 사고를 통해 고객의 이름 등 기본 정보는 물론, 신용카드·주소 및 여행 예약 정보 등이 전반적으로 유출됐다. 영국항공은 피해자 개인별로 연락을 취해 개별적으로 모든 클레임을 처리할 것이라고 전했다. 그러나 결국 개인정보 유출이 의심되는 사용자는 은행 또는 카드회사에 직접 연락해 결제 내역을 확인하고 카드를 새로 발급받는 등 불편함을 감수해야 한다.

지난해 11월엔 글로벌 호텔 체인 기업인 ‘메리어트 인터내셔널’이 3억3900만 명에 달하는 고객 정보가 해킹됐음을 발표해 논란이 되기도 했다. 피해자 중 3억 명가량이 31개 EU 국가 거주민이었고, 영국 국민은 700만 명에 달했다. ICO는 이들에게도 약 1억 파운드(약 1500억원)의 벌금을 부과해 현재 항소심이 진행 중이다.

정보 유출 처벌, GDPR 도입 전후 천지 차이

2016년 첫 도입돼 지난해 5월부터 EU 전역에 준수 필수 요건이 된 GDPR법은 회원국들이 각자 갖고 있던 기존의 정보보호법을 대체한 통일 시스템이다. 기존의 법규보다 훨씬 까다로운 데이터 처리 규정을 적용하며, 위반 시 매우 강력한 벌금을 부과한다. GDPR이 적용되기 전과 후 처벌 강도는 하늘과 땅 차이다. 일례로, 2016년 ‘케임브리지 스캔들’로 전 세계의 주목을 끌었던 페이스북의 고객 정보 유출 사건은 영국이 GDPR을 도입하기 전에 발생했다.

당시 페이스북은 8700만 명의 고객 정보를 제3자인 영국 데이터 분석회사 케임브리지 애널리티카에 유출했음에도, 처벌 강도는 벌금 500만 파운드(약 7억1800만원)에 불과했다. 당시 영국 정보보호법에서 부과할 수 있는 최고 금액의 벌금이었지만, 페이스북의 연간 총수익이나 현 GDPR의 벌금 책정 기준에 비하면 매우 미미해 당시 여론의 따가운 비판을 받았다. 영국의 일간지 가디언은 “이번 영국항공의 사고를 통해 GDPR 도입이 얼마나 큰 변화를 가져다줬는지 보여줬으며, 이를 계기로 시민들의 개인정보 안전에 대한 인식도 제고되는 계기가 됐다”고 분석했다. 실제 영국 내 GDPR 도입 이후 올 상반기 개인정보 침해 신고 건수는 전년 대비 2배가량 증가했다.

GDPR의 대상은 GDPR 해당 국가 내 개인 또는 기업뿐만 아니라 EU 시민 또는 거주자의 개인정보를 처리하거나 이들에게 서비스 또는 상품을 판매하는 모든 이들을 포함한다. 해당 사업자가 EU 내에 위치하지 않아도 GDPR은 적용된다. 실제로 영국 내 첫 GDPR 벌금 부과 대상자는 캐나다 국적의 컨설팅 기업이었다. 자국민 보호의 영역이 물리적 보호뿐만 아니라 가상공간으로까지 확대된 셈이다.

벌금은 심각성의 정도와 고의성 여부, 비슷한 전력이 있는지 등 10가지 기준에 따라 정해진다. 벌금 규모에는 2개의 기준선이 마련돼 있다. 1단계는 전년도 총매출액의 2%, 2단계는 전년도 총매출액의 4%다. 이번 영국항공의 경우, 침해 사건의 강도가 낮지는 않지만 수사에 적극적으로 협조하는 등의 자세를 보여 1단계보다 다소 낮은 전년도 수익의 1.5%를 벌금으로 부과했다.

 

한국 처벌 강도, GDPR 도입 전보다도 약해

한국의 개인정보보호법 또한 여러 유럽 국가들의 법을 참고해 만들어졌다. 개인정보 유출을 막기 위해 한국은 일찍이 ISMS(Information Security Management System)라는 인증 제도를 마련해 놨다. 2002년 처음 도입된 ISMS는 이용자 수가 100만 명 이상 또는 연간 매출액이 1500억원 이상인 사업자가 의무적으로 받도록 돼 있다. 자주 사용하는 각종 온라인 예약 및 쇼핑 사이트 등이 대부분 여기에 해당한다. 이 외에도 전기통신사업법의 전기통신사업자로, 전국적으로 정보통신망 서비스를 제공하는 기업 역시 이 인증 제도의 의무 대상이다.

ISMS 인증 제도가 도입된 지 적지 않은 시간이 지났음에도 불구하고 국내에선 여전히 크고 작은 정보 유출 사고들이 끊이지 않고 있다. 지난 10년 국내 개인정보 침해 사례 40여 건을 분석한 결과, 60억 건이 넘는 개인정보가 유출 또는 무단으로 제공됐다는 통계가 최근 공개되기도 했다. 이 같은 사고의 반복 원인으로는 단연 기업의 매출, 고객들의 피해 규모와 동떨어진 솜방망이 처벌이 지목된다. 대표적인 예로 2014년 국민·농협·롯데카드사의 총 1억4000만 건에 달하는 개인정보 유출 사고를 꼽을 수 있다. 당시 재판에서 이들 카드사에 대한 처벌은 벌금 1500만원가량뿐이었다. 더 심각한 문제는 이들에게 내린 처벌이 현재 우리 법이 정하고 있는 법정 최고형이라는 것이었다. 당시 피해를 본 카드 사용자 1만여 명은 카드사들을 상대로 공동 소송을 진행해 지난한 재판을 받았지만 개인당 10만원 배상 판결을 받은 게 전부였다.

당시 시민사회와 여론의 거센 비판에도 이 같은 법적 빈틈은 고쳐지지 않았다. 2016년 대형 온라인 쇼핑물 인터파크가 고객 1032만 명의 개인정보 2540만 건을 유출한 사건이 발생했을 때도 상황은 마찬가지였다. 사고 초반, 방송통신위원회가 업체의 보안 취약사항을 발견하고, 유출 확인 후 24시간 내 신고하지 않은 점 등을 강하게 문제 삼으며 45억원가량의 벌금을 부과했지만, 인터파크가 이에 불복하면서 3년째 여전히 재판이 진행 중이다. 사고 피해자들이 별도 진행한 손해배상 공동 소송은 피해자들의 패소 결정이 이뤄졌다.

이 두 사건은 영국 등 유럽 국가의 정보 유출 사고와 비교해 결코 규모가 작거나 덜 심각하지 않다. 오히려 국내 주요 사건에서 정보 유출을 경험한 피해자 수가 앞선 영국의 사례보다 더 많다. 그럼에도 불구하고 해당 국내 기업들이 받은 처벌 강도는 영국 기업들이 경험한 것과 비교할 수 없이 약하다. 유럽 내 GDPR을 도입하기 전 규제보다도 훨씬 가볍기만 하다. 온라인상 개인정보의 유출 영역이 비단 한 국가 안에만 국한되지 않는 만큼, 국가 간 유출 사고에 대한 처벌의 차이를 조속히 조정할 필요가 있어 보인다.

 

이 기사에 댓글쓰기펼치기