CloudPNG

ºC

logo
IT/바이오

개인정보 집단소송 넓힌다…개인정보위, 매출 10퍼 과징금 추진

허준호 기자
입력

대형 개인정보 유출 사고가 잇따르면서 개인정보보호위원회가 제재와 분쟁 해결 체계를 동시에 손보는 개편에 속도를 내고 있다. 반복적이거나 중대한 법 위반에 대해 기업 전체 매출의 최대 10퍼센트까지 부과하는 징벌적 과징금을 도입하고, 분쟁조정 절차와 연계해 소비자단체가 금전 손해배상을 청구하는 단체소송을 활성화하는 구상이다. 수사기관과의 공조에 더해 포렌식센터와 기술분석센터를 전면 가동해 조사 속도와 기술적 정밀도도 끌어올린다는 계획이다. 다만 쿠팡을 비롯한 현재 진행 중 사건에 대해서는 징벌적 과징금의 소급 적용이 어렵다는 점을 분명히 했다.

 

송경희 개인정보보호위원회 위원장은 12일 2026년 업무보고 사후 브리핑에서 최근 쿠팡, SK텔레콤, KT, 롯데카드, 넷마블 등에서 발생한 대규모 개인정보 유출에 대한 조사 상황과 제도 개편 방향을 설명했다. 송 위원장은 과학기술정보통신부, 민관합동조사단, 수사기관과 협력해 현장 조사와 기술 분석을 병행 중이라며, 관계 기관과의 공조를 통해 심사와 조사를 최대한 신속히 진행하고 있다고 밝혔다.

개인정보위가 추진하는 제도 개편의 한 축은 징벌적 과징금이다. 이미 국회에 발의된 개정안에는 반복적인 법 위반이나 사고 규모가 크고 중대성이 인정되는 경우, 일정 규모 이상 사업자에 대해 전체 매출액의 최대 10퍼센트를 과징금으로 부과하는 특례가 담겼다. 지금까지는 위반 행위와 직접 관련된 매출이나 위반 정도를 기준으로 과징금이 산정됐는데, 개정안이 통과되면 대형 플랫폼과 통신사 등 데이터 집약 사업자에게 훨씬 강한 재무적 압박이 가해지게 된다.

 

송 위원장은 국민적 공감대가 형성된 만큼 법 개정이 신속하게 추진될 것으로 본다고 언급하면서도, 쿠팡 등 현재 조사 중 사건에 대해서는 새로운 징벌 과징금을 적용하기 어렵다고 선을 그었다. 법률 일반 원칙상 형벌에 준하는 강한 제재 수단을 과거 행위에 소급해 적용하기는 쉽지 않다는 설명이다. 다만 단체소송 제도는 구체적인 사안별 법 적용 가능성을 따져볼 여지는 있다고 여지를 남겼다.

 

다른 축은 피해 구제 수단의 실질화다. 개인정보보호법 제51조에 단체소송 규정은 이미 있으나, 현재는 금전적 손해배상에 관한 구체적 조항이 없어 소비자단체가 나서더라도 명시적인 집단 배상까지 이어지기 어려운 구조다. 개인정보위는 이 조항에 손해배상 관련 규정을 추가하는 개정안이 발의돼 있다며, 위원회도 참여해 신속한 통과를 추진하고 있다고 설명했다.

 

개편안이 도입되면 개인정보 분쟁조정 신청이 단체소송으로 이어지는 구조가 강화된다. 단체소송에 참여하려면 분쟁조정 신청이라는 전치 절차를 거치게 돼 있고, 이 과정에서 비용 부담 없이 피해 유형과 책임 범위, 손해배상 기준 등을 정리해 둘 수 있다. 이후 법원이 분쟁조정 결과와 피해 구제 방향을 참고해 집단적 손해배상을 명할 수 있게 되면, 개별 이용자가 소액 소송을 반복적으로 제기하지 않아도 기업에 대한 책임 추궁이 가능해진다.

 

송 위원장은 단체소송에 금전적 배상이 포함되면 사실상 집단소송 효과 대부분을 볼 수 있을 것이라고 전망했다. 이미 개인정보보호법에는 손해액의 최대 5배까지 배상하도록 하는 징벌적 손해배상 제도와 최대 300만 원의 법정손해배상 규정이 있으나, 실제 손해액 입증 난도가 높아 활성화되지 못했다는 평가가 나온다. 단체소송 제도 정비와 집단소송 관련 일반 법안이 병행될 경우, 실질적인 피해 회복에 한 걸음 다가갈 수 있다는 판단이다.

 

조사 역량 강화도 병행된다. 송 위원장은 최근 5년 사이 개인정보위 책무가 급격히 확대됐지만 현재 제도와 인력, 업무 방식으로는 대형 클라우드 기반 사고에 선제 대응하기 어렵다고 진단했다. 클라우드 환경에서는 한 번의 침해가 다수 서비스로 급속 확산되고, 해외 서버로 유출된 정보가 불법 유통될 위험도 크기 때문에 사후 제재에만 의존하는 접근은 한계가 뚜렷하다고 말했다.

 

개인정보위는 이에 맞춰 제도 개선 태스크포스를 구성하고 인력 확충과 기술 기반 상시 모니터링 체계 전환을 동시에 추진 중이다. 인력 충원에 더해 AI 기반 침입 탐지, 자동 이상 징후 감지, 로그 분석 등 기술 도입을 확대하고, 조사 과정에서는 디지털 증거 수집과 분석을 전문적으로 수행할 수 있는 조직을 키우겠다는 구상이다.

 

실제 조직 개편도 진행되고 있다. 개인정보위는 최근 포렌식센터를 개소해 침해 사고 현장의 저장장치와 서버 기록을 디지털 포렌식 기법으로 분석하고 있다. 여기에 더해 기술분석센터 구축도 준비 중이며, 내년도 예산으로 20억 원을 우선 확보했다. 기술분석센터는 대형 플랫폼과 통신사, 금융사에서 사용하는 인증 체계, 암호화 방식, 접근 통제 시스템 등을 종합적으로 분석해 사고 원인을 규명하고 취약점 패턴을 축적하는 역할을 맡게 될 전망이다.

 

개인정보위가 매출의 10퍼센트라는 강도 높은 과징금과 집단적 손해배상을 앞세운 것은 대형 사업자의 보안 투자 유인을 높이려는 의도와 맞닿아 있다. 글로벌 빅테크와 통신사는 방대한 개인정보를 다루면서도, 실제로는 사고 이후 과징금과 평판 하락만을 감수하는 구조가 반복되며 근본적인 보안 수준 제고가 더디다는 지적이 꾸준히 제기돼 왔다. 유럽연합 일반개인정보보호법은 위반 유형에 따라 전 세계 연 매출의 최대 4퍼센트를 과징금으로 부과할 수 있도록 규정하고 있어, 개인정보위의 10퍼센트 구상은 특정 중대행위를 겨냥한 더욱 강한 신호로 해석된다.

 

다만 업계에서는 과징금 상한 인상과 집단소송 도입이 데이터 기반 서비스 전반의 리스크를 키워 혁신 투자를 위축시킬 수 있다는 우려도 존재한다. 이에 대해 개인정보위는 중대한 사고나 반복 위반, 일정 규모 이상 사업자 등 엄격한 요건을 전제로 하고 있다며, 일반적인 기술 실험과 서비스 개선을 제약하지 않는 방향으로 제도를 설계하겠다는 입장이다.

 

전문가들은 이번 개편이 국내 디지털 산업 전반의 데이터 거버넌스 수준을 국제 기준에 맞추는 계기가 될 수 있다고 본다. 한편에서는 법과 제도가 강화될수록 기업의 준법 경영과 보안 투자가 비용이 아닌 필수 인프라로 전환돼야 한다는 지적도 제기된다. 산업계는 개인정보위가 준비하는 징벌적 과징금과 단체소송 제도가 실제로 시장에 안착해 이용자 신뢰를 높이는 방향으로 작동할지, 그리고 기업의 데이터 활용 전략을 어떻게 재편하게 만들지 예의주시하는 분위기다.

허준호 기자
share-band
밴드
URL복사
#개인정보보호위원회#쿠팡#단체소송