[기고] 대량에서 정밀로, 개인정보 유출의 전환

최근 쿠팡의 개인정보 유출 논란에 이어 결혼정보회사 듀오에서 약 42만7000명에 달하는 회원 정보가 유출된 사실이 드러났다. 그러나 이 두 사건을 단순한 반복 사고로 보는 것은 문제의 본질을 놓치는 접근이다. 지금 우리가 마주한 변화는 개인정보 유출의 '양'이 아니라 '성격'에 있다.

쿠팡 사례는 이름, 이메일, 전화번호 등 기본 식별 정보가 광범위하게 노출되면서 이용자 규모 자체가 위험의 핵심 요인으로 작용했다. 반면 듀오 사건은 규모보다 정보의 민감도에서 본질적인 차이를 보인다. 유출된 정보엔 신장·체중·혈액형, 종교, 혼인경력, 가족관계, 학력, 직장 정보 등 개인의 삶을 구체적으로 재구성할 수 있는 고밀도 개인정보가 포함됐다.

유출 경로 역시 차이를 보인다. 쿠팡의 경우 외부 공격이나 시스템 취약점 악용 가능성이 제기된 반면, 듀오 사건은 직원의 업무용 PC 해킹으로 내부 접근 권한이 탈취된 형태로 발생했다. 특히 보유 기간이 지난 개인정보가 삭제되지 않은 채 장기간 유지된 점은 데이터 관리가 최소 보유가 아닌 장기 축적 중심으로 운영됐음을 보여준다. 이는 의료·금융·채용 등 민감정보를 다루는 산업 전반에도 유사한 취약성이 내재해 있음을 시사한다.

이번 사태의 핵심은 제재 수준에서 더욱 분명해진다. 개인정보보호위원회는 듀오에 과징금 11억9700만원과 과태료 1320만원을 부과하는 데 그쳤다. 이는 개인정보보호법이 과징금을 전체 매출액의 최대 3% 범위 내에서 산정하도록 규정하고 있는 탓이다. 결국 개인정보 유출의 '위험도'가 아니라 '매출 규모'가 제재의 기준으로 작동하고 있는 셈이다.

이처럼 제재 수준이 제한적인 구조에서는 기업이 개인정보 보호에 선제적으로 투자하기보다, 사고 발생 이후 대응으로 비용을 관리하려는 유인이 작동할 수밖에 없다. 2014년 카드 3사 정보 유출 사건 이후에도 유사 사고가 반복되고 있는 이유다. 최근엔 외부 해킹보다 내부 관리 부실이 주요 원인으로 부상하고 있다는 점도 주목할 필요가 있다.

해외 사례를 살펴보자. 유럽연합의 개인정보보호규정(GDPR)은 서비스 설계 단계에서부터 개인정보 최소 수집과 목적 제한을 의무화하고, 위반 시 전 세계 매출의 최대 4%까지 과징금을 부과할 수 있도록 하고 있다. 미국 캘리포니아주 개인정보보호법(CCPA) 역시 이용자에게 개인정보 열람과 삭제 요구권을 부여하며 기업의 데이터 통제책임을 강화하는 방향으로 제도를 발전시키고 있다.

우리나라도 올해 9월부터 '징벌적 과징금' 제도가 시행되면 중대한 위반이나 대규모 유출에 대해 과징금 상한이 매출의 3%에서 최대 10%까지 확대된다. 그러나 상한이 높아지더라도 산정 기준이 매출 중심에 머문다면, 고위험 정보 유출에 대한 제재 불균형 문제는 해소되기 어렵다.

수천만 명의 기본 정보 유출과 수십만 명의 고위험 정보 유출이 동일한 기준으로 다뤄질 순 없다. 매출 기준은 기업 규모에 따른 최소 부담 기준으로 두되, 제재 강도는 정보의 민감도와 2차 피해 가능성에 비례해 결정되는 구조로 설계돼야 한다. 이와 함께 보유 기간 제한, 자동 삭제, 접근 권한 최소화와 같은 기본 원칙이 현장에서 실제로 작동하도록 관리 체계도 강화해야 한다.

이번 사태의 본질은 분명하다. 개인정보 유출은 사고가 아니라 구조적 취약성의 결과다. 제재가 위험을 반영하지 못하는 한 반복은 불가피하다. 개인정보는 한 번 유출되면 되돌릴 수 없다. 기준은 명확하다. 얼마나 많이가 아니라, 얼마나 위험한가다.

채성준 서경대 군사학과장·안보전략연구소장·전 국가안보전략연구원 연구위원 yeomul@hanmail.net