2026년 초 김유출씨(가명)는 보이스피싱 전화를 받았다.
“김유출 고객님, 어제 새벽에 주문하신 멀티비타민, 배송지 유출아파트 1205호 공동현관 번호 0712 맞으시죠? 확인차 연락드렸습니다.”
상대는 김씨 주소만이 아니라 새벽 시간대 접속 습관, 택배가 드나드는 경로, 주소록에 저장된 다른 사람 정보까지 파악한 듯했다. 유출된 것은 개인정보가 아니라 일상생활의 설계도였다. 과거 무작위 발송하던 보이스피싱이나 스미싱이 이들 설계도를 만나 개별 타깃 공격으로 진화했다.
쿠팡 3370만개 계정, SK텔레콤 2500만명, KT·카드 3사·인터파크에다 거슬러 올라가 싸이월드까지 합치면 한국에서 개인정보를 한 번도 털리지 않은 사람을 찾기가 더 어렵다. 공공기관 유출도 매년 증가해 지난해 104건을 기록했다. IT 강국이라는 간판이 무색할 정도로 개인정보는 가장 취약한 자산이 됐다.
법원이 인정한 배상액은 대부분 1인당 10만원이었다. 전화번호, 카드번호, 집 주소, 배송목록, 가족관계 등 생활의 설계도가 통째로 넘어가도 그 값은 변하지 않았다. 몇몇 사건에서는 기업 책임 자체가 부정되기까지 했다. 재산상 손해가 구체적으로 입증되지 않는다는 이유, 보호조치 위반이 명확하지 않다는 이유가 반복되며 ‘1인당 10만원’은 기업들이 부담해야 할 법적 책임의 기준이 됐다.
또 다른 문제는 소송 과정에서 기업 측 과실을 입증하는 자체가 너무 어렵다. 피해자는 기업 내부의 로그, 암호키 관리 상태, 보안 시스템의 허점을 알 수 없다. 정보 비대칭이 절대적이기 때문에 과실 입증은 늘 한계에 부딪히고, 법원은 소극적 판단을 반복한다.
얼마 전 과징금이 강화됐다지만 최근의 사고들은 이를 비웃는다. 전체 매출의 3%까지 부과할 수 있다고 해도 그 돈은 행정제재로 국고로 들어간다. 피해자에게 돌아가지 않는다. 사고로 인한 장기적 위험과 불안은 여전히 개인이 떠안는다. 보안 실패가 기업의 존립에 영향을 주지 않는다면 사고는 얼마든지 ‘비용 처리’ 가능하다.
이 악순환을 멈추려면 책임 판단의 기반을 바꿔야 한다. 핵심은 증거 접근권이다. 기업 내부 자료를 강제로 열람할 수 있어야 보호조치 위반 여부를 가릴 수 있다. 디스커버리 제도 논의가 힘을 얻는 이유다. 증거가 있어야 책임이 성립하고, 책임이 성립해야 기업은 보안에 투자한다.
징벌적 배상도 선언이 아니라 실제로 작동하는 체계를 갖춰야 한다. 고의·중과실 입증 기준을 지금의 높은 문턱에 그대로 두고 '징벌적'이라는 이름만 붙여서는 아무런 변화도 일어나지 않는다. 개인정보 유출처럼 피해가 대규모로 확산되는 사건에서 개별 소송으로 문제를 해결하려는 방식 역시 시대에 맞지 않는다. 데이터가 대규모로 처리되는 시대라면 분쟁 해결 방식도 그 규모에 맞게 개편돼야 한다.
쿠팡 사태는 기업이 방대한 개인정보를 축적하는 속도에 비해 그 책임을 평가하고 통제해야 할 법·제도와 사법 시스템이 제자리인 데서 비롯됐다. 단순히 해킹을 막을 능력이 있었느냐는 문제가 아니다. 이를 사전에 막기 위한 투자 구조와 막지 못했을 때 뒤따를 배상 체계가 사법 시스템 안에 설계돼 있지 않다는 점이 더 본질적이다. 구글이 수십조 원을 투자해 보안기업을 인수한 이유를 국내 기업 중 몇이나 같은 무게로 받아들일까.
당신의 개인정보는 얼마인가. 쿠팡 사태에 대한 배상액으로 10만원이 주어진다면 그것이 당신의 개인정보가 넘어간 대가로 충분한가. 가치를 낮게 책정하는 한 책임도 낮게 머무르고, 책임이 낮은 구조에서는 기업의 보안 투자도 결코 높아질 수 없다. 개인정보 보호 체계가 아니라 그 가치를 책정해 온 사법 시스템 전체가 바뀌지 않으면 유출은 반복될 수밖에 없다.
박용준 기자yjunsay@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
