최근 개인정보보호위원회가 약 297만 명의 개인정보 유출 사고를 일으킨 롯데카드에 대해 약 96억 원의 과징금을 부과한 것을 두고 제재의 형평성 논란이 제기되고 있다.

지난해 약 2700만 명의 유심(USIM) 정보 유출 사고를 일으킨 SK텔레콤에 대해 1300억 원이 넘는 과징금이 부과된 것과 비교하면, 단순한 규모의 차이를 넘어 제재 체계 자체의 합리성에 의문이 제기되는 상황이다. 문제의 핵심은 단순히 과징금 금액의 차이가 아니라 개인정보의 위험성과 제재 수준 사이의 괴리에 있다. 즉, 정보의 민감도와 제재 수준이 역전되었기 때문이다.

유출된 정보의 성격을 보면 이번 사건의 문제는 더욱 분명해진다. SK텔레콤 사건에서 유출된 정보는 주로 유심 인증키와 단말기 식별번호였다. 물론 통신보안 측면에서 중요한 정보이지만, 직접적인 금융범죄로 이어질 가능성은 상대적으로 제한적이다.

반면 롯데카드 사건에서는 훨씬 민감한 정보가 포함되어 있었다. 주민등록번호,전화번호,카드번호,카드 유효기간,CVC(카드 보안 코드)와 같은 정보는 단순한 개인정보 유출을 넘어 실제 금융 범죄로 직결될 수 있는 고위험 정보다.

카드번호와 CVC가 동시에 유출된 경우에는 카드 복제나 부정결제 같은 피해가 발생할 가능성이 매우 높다. 개인정보 보호의 관점에서 보면 정보의 질적 위험성은 롯데카드 사건이 훨씬 심각하다고 평가할 수 있다.

그럼에도 불구하고 과징금 규모는 SK텔레콤의 약 14분의 1 수준에 그쳤다. 이는 결과적으로 정보 보호의 실질적 위험도와 법적 제재 수준이 역전되는 상황을 만들어낸다.

이와 같은 과징금 산정 구조는 두가지 정도의 구조적 문제에서 비롯되는 것으로 보여진다. 첫째는 매출액 산정 범위의 문제다. 개인정보 보호법에 따르면 개인정보 유출에 대한 과징금은 위반행위와 관련된 매출액의 일정 비율(최대 3%)을 기준으로 산정된다.

SK텔레콤 사건의 경우 규제당국은 유출 사고가 이동통신 서비스 전반과 관련된 것으로 판단하여 전체 이동통신 매출을 기준으로 과징금을 산정했다. 반면 롯데카드 사건에서는 사고 발생 영역을 온라인 결제 서비스라는 특정 사업 영역으로 한정했다. 그 결과 과징금 산정의 기초가 되는 매출 규모가 크게 축소되었다.

둘째는 특별법 우선 원칙으로 금융정보의 경우 일반법인 개인정보 보호법보다 신용정보의 이용 및 보호에 관한 법률이 우선 적용된다. 이에 따라 개인정보보호위원회는 주민등록번호 처리 위반 부분만을 중심으로 제재를 부과했고, 카드정보와 같은 개인신용정보 유출에 대해서는 금융당국의 관할 사항으로 넘겼다.

문제는 이러한 특별법 체계가 결과적으로 제재 수준을 오히려 낮추는 결과를 초래했다는 점이다. 신용정보법상 안전조치 의무 위반에 대한 과징금 상한은 50억 원에 불과하다. 금융당국이 법정 최고액을 부과하더라도 롯데카드 사건의 전체 제재 규모는 약 147억 원 수준에 머무르게 된다.

법체계의 분절이 만든 규제 공백의 문제점은 생각보다 심각하다. 이번 사건은 우리 개인정보 보호 법체계의 구조적 분절성을 드러낸 사례라고 볼 수 있다. 현재 개인정보 보호 규제는 다음과 같이 여러 법률에 분산되어 있다.

개인정보 보호법,신용정보법,정보통신망법,전자금융거래법 등 문제는 이러한 다층적 규제 구조가 실제 사건에서는 규제 공백을 만들 수 있다는 점이다. 개인정보 보호법이 적용되면 높은 과징금이 가능하지만, 신용정보법이 적용되면 제재 수준이 제한된다. 결국 법률 적용 방식에 따라 제재 수위가 크게 달라지는 결과가 발생한다.

이는 규제의 일관성과 예측 가능성을 약화시키는 요인이 된다. 그러므로 개인정보 보호 정책의 본질적 목적을 이 시점에서 우리는 다시 생각해 보아야 한다.

개인정보 보호 규제의 목적은 단순히 법 위반을 처벌하는 것이 아니다. 더 중요한 목적은 기업이 개인정보 보호를 위한 충분한 투자를 하도록 유도하는 것이다. 기업 입장에서 과징금이 실질적인 부담이 되지 않는다면, 개인정보 보호를 위한 기술적·관리적 조치에 투자할 유인이 약해질 수 있다.

특히 금융정보와 같이 직접적인 재산 피해로 이어질 수 있는 정보의 경우에는 더욱 강력한 보호가 필요하다. 이러한 관점에서 보면 이번 과징금 산정 방식은 개인정보 보호 정책의 예방적 기능을 충분히 수행하고 있는지 의문이 제기된다.

그러므로 이번 사건은 개인정보 보호 제재 체계를 재검토할 필요성을 보여준다.

첫째, 정보의 민감도와 위험성을 반영한 과징금 체계가 필요하다. 단순히 매출 규모만을 기준으로 제재 수준을 결정하는 방식은 개인정보 보호의 실질적 위험을 충분히 반영하지 못한다.

둘째, 개인정보 보호법과 신용정보법 간 제재 수준의 불균형을 조정할 필요가 있다. 금융정보는 일반 개인정보보다 오히려 더 높은 위험성을 가지는 경우가 많다.

셋째, 분산된 개인정보 규제 체계를 보다 통합적으로 운영할 필요가 있다. 동일한 개인정보 유출 사건이 법률 적용 방식에 따라 서로 다른 제재 수준을 받는 것은 바람직하지 않다.

개인정보 보호 규제에서 가장 중요한 것은 사회적 신뢰다. 국민들은 자신의 정보가 유출될 경우 국가가 적절한 수준의 책임을 묻기를 기대한다. 그러나 정보의 위험성이 더 높은 사건에서 오히려 제재가 더 낮게 나타난다면, 이는 규제의 정당성에 대한 의문을 낳을 수 있다. 나는 용감한 형사들이라는 프로그램을 즐겨본다.

이 프로그램에서 사회적 정서와 형량은 생각보다 괴리에 있고 그것을 메모화해보면서 공식을 시도해 보면서 불법성, 위험성은 제재의 징표가 되어 마땅하다는 생각으로 책임의 요건을 고민해 본다. 유심 정보 유출에는 1300억 원의 과징금이 부과되었지만 카드번호와 CVC 유출에는 100억 원 수준의 제재에 그쳤다는 사실은 우리 개인정보 보호 제도의 구조적 문제를 상징적으로 보여준다.

개인정보 보호 정책은 단순한 법률 해석의 문제가 아니라 국민의 정보권과 안전을 지키는 사회적 제도다. 이번 논란을 계기로 개인정보 보호 법체계의 형평성과 실효성을 다시 점검할 필요가 있다.

박정인 교수(법학박사)는 대통령 국가지식재산위원회 본위원회 위원, 문체부 저작권보호심의위원회 심의위원, 문체부 여론집중도조사위원회 상임위원, 인터넷주소분과위원회, 웹콘텐츠 활성화위원회 자문위원, 강동구 공직자윤리위원회 심의위원, 경찰청 사이버범죄 강사 등 여러 국가 위원을 역임했다. 공공기관 대상 법령입안강의를 하며, 대학에서 특허법, 저작권법, 산업보안법, 과학기술법, 정보보안법, 디지털증거법, ICT트러스트공학, 일반 산업안전, 중대재해법 등을 강의한다. 한국인터넷진흥원, 한국콘텐츠진흥원, 인텔리콘 메타연구소, 해인예술법연구소, 숙명여대 초빙교수, 단국대 연구교수 등을 역임했다.