[김기동 법무법인 로백스 대표변호사] 필자가 검사로 재직하던 2014년 1월 카드 3사에서 대량의 개인정보가 유출된 초유의 사태가 발생했다. 대검찰청은 즉각 개인정보 유관기관들과 범정부적으로 ‘개인정보범죄 정부합동수사단’을 서울중앙지검에 설치, 수년간 대대적인 단속에 나섰다. 그 이후에도 정부에서는 개인정보 유출 피해를 막기 위해 노력해 왔으나, 다른 이슈에 가려져 있을 뿐 최근에도 개인정보 유출 사건은 줄어들지 않고 있다.

지난 7월 개인정보보호위원회(개인정보위)는 고객의 개인정보 약 60만건이 유출되는 사고가 발생한 국내 통신업체 L사에 대하여, 방화벽・탐지시스템 등 안전조치 의무를 소홀히 했다고 과징금 68억원을 부과했다. 지난해에는 이용자의 동의 없이 행태정보(온라인 활동 정보)를 수집하고, 온라인 광고에 활용했다고 구글과 메타에게 각각 692억원과 308억원의 과징금을 부과하기도 했다. 

개인정보보호법 개정으로 징벌적 배상…기업 리스크 ↑

개인정보보호법위반으로 입건되는 사람이 한 해 2000명을 넘어섰고, 그중 500명 이상이 기소되고 있다. 이 같은 사법적 처분과는 별개로 개인정보위에서 부과되는 과징금, 과태료 등 금전적 제제도 연간 1000억원을 넘어섰다.

개인정보위는 2011년에 설치된 국무총리 직속의 중앙행정기관이다. 개인정보보호법 위반 사안에 대한 광범위한 조사권을 가지고 있고, 과징금·과태료 부과, 형사고발 등 조치도 취할 수 있어 공정거래위원회에 버금가는 강력한 기관으로 인식되고 있다. 개인정보보호법의 개정으로 개인정보유출로 피해를 야기한 정보처리자에게 일정한 범위에서 징벌적 배상이 인정되고, 소비자단체 등의 단체 소송도 가능하게 되었다. 과징금 액수도 현행 ‘위반행위와 관련한 매출액의 3％ 이하’에서 올해 9월부터는 ‘전체 매출액의 3％ 이하’로 바뀌게 됨에 따라 기업의 리스크가 훨씬 커졌다.

정보통신기술(ICT)이 발전하면서 공기처럼 떠다니던 데이터를 수집하는 일이 쉬워졌다. 과거에는 일일이 적어서 기록해야 했던 데이터들이 이제 고도화된 시스템을 바탕으로 축적된다. 온종일 스마트폰으로 주고받는 수많은 메시지부터 인터넷 검색과 SNS, 주식 거래나 신용카드 결제 등을 바탕으로 우리의 데이터는 실시간으로 쌓이고 있다. 나아가 사물인터넷(IoT)의 등장으로 인하여 사물에 달린 각종 센서 등은 수면 패턴, 운동 횟수나 운동 강도 등 그간 데이터화하기 어려웠던 것들도 데이터화한다.

그러나 개인정보는 양날의 칼과 같다. 세분화되고 집약된 빅데이터 산업이 물류, 재고 예측뿐만 아니라 AI 등 신산업과 소비자에게 편리를 주는 ‘데이터 경제’시대를 열어주기도 하지만, 식별성 있는 개인정보의 유출은 그 정보가 구체적이고, 개별화된 정보일수록 보이스피싱 뿐만 아니라 금융사기 등 ‘데이터 범죄’에 날개를 달아주기 때문이다.

그에 따라 정부는‘개인정보의 보호’와 ‘데이터 경제 성장’이라는 충돌하는 두 가치를 조화하기 위해 다양한 정책적 노력을 기울이고 있다. 2020년 2월 법률의 개정으로 개인 식별 가능성을 낮춘 ‘가명정보’가 활용될 수 있게 됐다. 또한 올해 3월에 개정된 개인정보보호법에서는, 국민이 본인의 데이터를 원하는 곳으로 전송해 주도적으로 통제·관리할 수 있는‘개인정보 전송요구권’도 신설되어 정보처분권의 법적 근거가 마련됨과 아울러 마이데이터 등 데이터 산업 발전의 기반을 갖추게 됐다.

컴플라이언스 기능 강화…정부 정책적 지원도 필요 

따라서 기업이 이러한 디지털 전환 환경에 적응하기 위해서는 데이터·개인정보 보호 전략을 새롭게 수립해야 한다. 즉 기업의 개인정보 보호 강화는 줄여야 하는 비용이 아니라 성장을 위한 투자(R&D)라는 인식에서 출발해야 한다. 개인정보보호법을 위반해 거액의 과징금 등 경제적 제재나 형사처벌을 받거나, 거액의 단체 소송을 당하게 되면 기업의 생존이 위태롭기 때문이다. 개인정보 유출 사고의 대부분은 관리 책임이 있는 기업·기관의 보안 실패로 인해 발생되고 있다. 기업의 컴플라이언스 기능을 대폭 강화해야 한다.

기업의 개인정보 유출 유형의 대표적인 유형인 해킹과 기업 관련자의 유출 사고를 방지하기 위해서는 무엇보다도 해킹 방지시스템(방화벽), 개인정보 암호화의 고도화, 기업 내부 개인정보 접근 이력의 실시간 데이터화 등 보안 시스템을 강화해야 한다.

개인정보 유출은 데이터의 속성상 순식간에 유통되어 피해가 예상할 수 없을 정도로 확산되기 때문에 기술적 조치를 통한 예방, 유출 사고 시 신속한 인지, 추가 유출 차단, 관계기관 및 대상 개인에게 고지, 유출된 정보의 신속한 회수가 매뉴얼에 따라 일사분란하게 이뤄져야 법적 리스크를 줄일 수 있다.

이스라엘 역사학자 유발 하라리는 데이터를 숭배하는 ‘데이터교’의 도래를 예언한 바 있는데, 실제로 빅데이터의 활용 여부가 앞으로 기업의 생존을 좌우할 것이다. 빅데이터의 활용은 과거의 정보 분석으로 현실의 상황과 문제점을 파악하고, 미래를 예견하는 능력을 결정하기 때문이다. 챗GPT와 같은 인공지능(AI)의 발전은 이런 능력을 더 고도화시키고 있다. 금융이나 IT 분야 뿐만 아니라 전통적인 제조업이나 농업도 데이터의 활용 없이는 성장이 불가능하게 됐다.

이러한 데이터 경제 시대에 우리나라가 글로벌 경쟁에서 도태되지 않기 위해서라도 정부에서는 데이터 활용과 그 산업화를 위한 정책적 지원을 아끼지 말아야 한다. 나아가 데이터 경제 성장을 이뤄내려면 그 전제로서 확실한 개인정보 보호 시스템을 갖춰야 한다는 인식의 확산이 필요한 시점이다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지