개인정보가 한 번 유출되면 다시 되돌릴 수 없다는 말, 많이 들어보셨을 겁니다. 그런데 솔직히 저는 이 말이 얼마나 체감되는지 의문이었습니다. 이번에 개인정보보호위원회가 발표한 예방 중심 관리 체계 전환 계획을 들여다보면서, 그 무게를 다시 생각하게 됐습니다. 기업들이 아직도 "사고 나면 그때 처리하면 된다"는 계산을 하고 있다는 현실이 꽤 씁쓸했습니다.
## 징벌적 과징금과 위험 기반 관리, 예방이 정말 될까
이번 정책의 핵심 중 하나는 징벌적 과징금 제도입니다. 중대하거나 반복적인 위반 행위에 대해 매출액의 최대 10%까지 과징금을 부과하는 방식으로, 9월부터 시행됩니다. 여기서 징벌적 과징금이란 단순한 제재를 넘어서 위반 행위를 억제하기 위해 실제 손해액보다 훨씬 높게 설정된 금전적 처벌을 의미합니다. 제가 직접 여러 기업의 정보보호 담당자들과 이야기해 본 적이 있는데, 솔직히 그분들도 "과징금이 낮으면 그냥 맞고 말지"라는 식의 내부 분위기가 없지 않다고 털어놓더군요. 그 인식이 이제는 바뀌어야 한다고 생각합니다.
과징금 산정 기준도 강화됐습니다. 기존에는 3년 평균 매출액을 기준으로 삼았는데, 앞으로는 직전 연도 매출액과 비교해 더 높은 금액을 적용합니다. 이 변화가 작아 보여도 실제 기업 입장에서는 상당한 차이입니다.
두 번째는 위험 기반 관리 체계(Risk-Based Management)입니다. 위험 기반 관리 체계란 개인정보 처리 규모나 사고 발생 가능성에 따라 기업별로 다른 수준의 관리 의무를 부과하는 방식입니다. 지금까지는 작은 동네 미용실이나 대형 플랫폼이나 같은 기준을 적용받았습니다. 제 경험상 이건 정말 비효율적이었습니다. 영세 사업자에게는 과도한 부담이 되고, 정작 수백만 건의 데이터를 처리하는 대형 기업은 최소한의 기준만 맞추면 그만이었습니다. 이번에 고위험 분야에 대한 정기·수시 점검을 강화하고, 상조 회사, 고객 상담 센터, 결혼 정보 업체처럼 민감 정보를 대규모로 다루는 곳을 우선 점검 대상으로 삼은 것은 방향 자체는 맞다고 봅니다.
또한 이번 계획에는 PbD(Privacy by Design, 프라이버시 바이 디자인) 원칙도 포함됩니다. PbD란 서비스를 처음 설계할 때부터 개인정보 보호 기능을 내재화하는 개념으로, 사후에 보안 패치를 덧붙이는 방식과는 근본적으로 다릅니다. 이미 EU의 GDPR(일반 개인정보보호법)에서 핵심 원칙으로 자리 잡고 있는 국제 표준입니다. 제도가 현장에서 실질적으로 구현되려면 PIMS(개인정보보호 관리 체계 인증 제도)와 PIA(개인정보 영향 평가) 제도를 함께 개선하겠다고 밝혔는데, 이 부분은 좀 더 지켜봐야 할 것 같습니다.
이번 정책에서 균형 잡힌 시각이 필요한 지점을 정리하면 다음과 같습니다.
- 과징금 강화는 기업 책임성을 높이지만, 지나치면 국내 스타트업이나 중소기업의 사업 위축으로 이어질 수 있습니다.
- 위험 기반 차등 관리는 합리적이지만, 고위험 기업으로 분류되는 순간 규제·점검 부담이 급격히 커집니다.
- PbD 원칙은 이상적이나, 레거시 시스템이 많은 공공 기관에서 실제로 적용하기까지는 시간이 걸립니다.
## 국민 피해 구제와 공공 부문의 현실, 숫자가 말해주는 것
이번 계획에서 개인적으로 가장 주목한 부분은 국민 피해 구제 강화입니다. 유출 사고가 나도 피해자 개인이 손해를 증명하기 어려워 실질적인 보상을 받지 못하는 경우가 많았습니다. 이번에 입증 책임을 유출 기관 쪽으로 돌리고, 법정 손해 배상 책임 제도를 활성화하는 방향은 분명히 진전입니다.
여기서 법정 손해 배상이란 실제 피해 금액을 입증하지 않더라도 법에서 정한 일정 금액을 배상받을 수 있는 제도를 말합니다. 개인이 개인정보 유출로 인한 정신적 피해, 2차 피해 등을 하나하나 증명하는 것이 현실적으로 매우 어렵다는 점을 고려하면, 이 제도의 활성화는 실질적인 구제 수단이 될 수 있습니다.
다크패턴(Dark Pattern) 점검도 포함됐습니다. 다크패턴이란 이용자가 개인정보 동의 철회나 회원 탈퇴를 하기 어렵도록 UI·UX를 의도적으로 설계하는 기법을 말합니다. 제가 실제로 특정 플랫폼에서 탈퇴 버튼을 찾다가 10분 넘게 헤맨 적이 있습니다. 그게 우연이 아니라 설계였다는 걸 나중에 알았을 때 꽤 화가 났습니다. 이 부분은 집중 점검이 필요하다고 생각합니다.
공공 부문 문제는 숫자가 직접 말해줍니다. 기초 지방자치단체의 개인정보 전담 인력은 기관당 평균 0.3명 수준이고, 전체 공공 기관 기준으로도 전담 인력은 기관당 0.7명에 불과합니다([출처: 개인정보보호위원회](https://www.pipc.go.kr)). 더 심각한 건 인력 안정성입니다. 재직 기간 1년 미만 비율이 34.2%, 2년 미만까지 합치면 56%를 넘습니다. 이런 구조에서는 담당자가 업무를 파악할 때쯤 이미 다른 부서로 이동해 버립니다. 전문성을 쌓을 시간 자체가 없는 셈입니다.
일각에서는 "전담 인력을 늘리면 된다"라고 하지만, 단순 증원보다 순환 보직 문제를 먼저 해결해야 한다는 시각도 있습니다. 저도 그 의견에 동의하는 편입니다. 제 경험상 전문성이란 짧게 거쳐 가는 자리에서는 절대 쌓이지 않더라고요. 실제로 점검 결과에서 10년 이상 보안 패치를 하지 않거나 모의 해킹 같은 취약점 점검을 실시하지 않은 공공 시스템이 다수 발견됐다는 사실은, 인력 부족과 전문성 부재가 단순한 수치 문제가 아님을 보여줍니다([출처: 행정안전부](https://www.mois.go.kr)).
사전 예방이 실질적으로 작동하려면 제도 설계만큼이나 현장 집행력이 뒷받침되어야 합니다. 이번 발표가 큰 그림을 제시했다면, 앞으로는 세부 실행 계획이 실제로 어떻게 움직이느냐가 관건이 될 것입니다.
개인정보 보호를 보안 비용으로만 볼 것인지, 아니면 디지털 신뢰 자산으로 볼 것인지에 따라 기업과 기관의 태도가 달라집니다. 이번 정책이 그 인식 전환의 계기가 될지 주목할 필요가 있습니다. 관심 있으신 분은 개인정보보호위원회 공식 사이트에서 세부 내용을 직접 확인해 보시길 권합니다.
이 글은 개인적인 경험과 의견을 공유한 것이며, 전문적인 법률 조언이 아닙니다.
---
출처: https://www.youtube.com/watch?v=iiufOpJD3rg