[뉴스토마토 최수빈 기자] 개인정보보호법 개정 이후 개인정보 유출에 대한 처벌이 대폭 강화되면서 정보기술(IT) 업계의 경각심이 높아지고 있습니다. 특히 개인정보 유출 사고로 인한 과징금 규모가 커지면서 법정 다툼으로 비화될 조짐도 나타나는데요. 다만 민간이 아닌 공공기관의 경우 개인정보 유출 건수는 해마다 늘어나고 있지만 처벌 수위가 낮다는 지적이 나옵니다. 

 

 

10일 법조계에 따르면 서울행정법원 행정2부는 2022년 9월 해킹으로 쇼핑몰 회원 11만여 명의 개인정보가 유출된 건강기능식품 제조사 에스엘바이오텍이 개인정보보호위원회를 상대로 낸 4억 60000여만원의 과징금 부과 처분 취소 소송을 원고 패소로 판결했습니다. 

 

개인정보위 과징금 처분을 놓고 업계의 소송전은 이어지고 있는데요. 개인정보 유출로 역대 최대 과징금을 부과받은 카카오(035720) 역시 개인정보위와 행정소송을 예고했습니다. 개인정보위는 지난달 23일 오픈채팅에서 사용자 정보가 유출된 책임을 물어 카카오에 151억4196만원의 과징금을 부과했습니다. 

 

정부는 지난해 개인정보보호법 개정으로 과징금 상한액을 위반행위 관련 매출액 3%에서 전체 매출 3%로 상향한 바 있는데요. 카카오의 과징금 부과는 개정 전 개인정보 보호법 기준이 적용된 만큼 향후 개인정보 유출 관련 과징금 부과 액수는 높아질 것으로 전망됩니다. 

 

이렇듯 기업의 부담은 늘어났으나 공공기관의 처벌 수위는 ‘솜방망이’ 수준을 벗어나지 못하고 있다는 지적이 나옵니다. 매출액이 없거나 매출액을 산정하기 힘든 공공기관에 부과되는 최대 과징금은 20억원인데요. 이마저도 상징적 액수에 지나지 않고 있습니다. 지난 2022년부터 2023년 8월까지 공공기관당 평균 과징금 및 과태료는 700만원으로, 민간기업의 7% 수준에 불과합니다. 

 

더 큰 문제는 공공기관발 정보 유출이 민간을 능가하고 있다는 건데요. 전 국민을 대상으로 서비스하는 정부24와 사법부 등에서 개인정보 유출이 빈번하고 발생하고 있는데요. 윤영덕 민주당 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면, 부처에 신고된 공공기관의 개인정보 유출 건수는 2019년 5만2000건에서 지난해 8월 기준 339만8000건으로 늘어났습니다. 같은 기간 민간기업에서 신고한 유출 건수는 1398만9000건에서 261만7000건으로 줄었습니다. 

 

개인정보보호법에 따르면 기업, 대학 등 대상으로 CPO(개인정보 보호 책임자)를 의무적으로 지정해야 합니다. CPO의 경우 개인정보보호 경력이 최소 2년 이상 있어야 한다는 조건이 따릅니다. 그러나 공공기관의 경우 요건이 적용되지 않는데요. 여기에 공공기관에도 정보보호와 보안대책을 총괄하는 최고정보보호책임자(CISO)를 지정하는 내용이 담긴 ‘전자정부법 개정안’은 국회에 계류 중입니다. 

 

이에 개인정보위는 공공기관 1400여 곳을 대상으로 공공기관 보호수준 평가제를 도입해 평가 대상 기관을 확대하고 평가·환류체계 강화를 꾀하고는 있지만 근본적 해결에는 이르지 못하고 있습니다. 염흥열 순천향대학교 정보보호학과 교수는 “공공 분야에도 CPO 제도를 도입해서 예산 확보나 개인정보 보호를 위한 예방 활동 및 사후 대응 활동을 강화해야 한다”라며 “공공분야가 솔선수범해야 하기에 개인정보 유출 사고의 원인을 파악하고 문제 해소를 위한 정책의 집행이 필요하다”고 진단했습니다. 

 

최수빈 기자 choi32015@etomato.com