잠잠했던 개인정보 유출 사고가 온라인동영상서비스(OTT) 티빙과 CU를 계기로 다시 수면 위로 떠오르고 있다.
8일 업계에 따르면 개인정보를 대량 유출한 티빙과 편의점 CU를 운영하는 BGF네트웍스에 대한 조사가 진행중인 가운데 개인정보보호위원회(이하 개인정보위)가 추진 중인 개인정보보호법 시행령 개정안에 대한 관심이 집중되고 있다.
개인정보위는 최근 티빙으로부터 개인정보 유출 신고를 접수하고 조사에 착수했다. 티빙에서 유출된 것으로 추정되는 정보는 아이디(ID), 이름, 생년월일, 성별, 휴대전화번호, 이메일 주소, 연계정보(CI), 중복가입확인정보(DI), 환불 계좌번호, 비밀번호 등이다. BGF네트웍스 역시 고객 정보가 외부에 유출된 정황을 확인하고 대응에 나선 상태다. 유출된 개인정보 항목은 아이디와 비밀번호, 이름, 생년월일, 성별, 주소, 이메일, 휴대폰 번호 등이다.
업계에서는 CI 유출을 심각하게 바라보고 있다. CI는 본인확인기관이 생성하는 고유 식별값으로, 주민등록번호를 직접 저장하지 않고도 동일인을 확인하는 데 사용된다. 과거 쿠팡과 롯데카드 등 대규모 개인정보 유출 사고에서도 CI 정보가 포함됐던 만큼 개별 사고만으로는 피해가 제한적일 수 있지만, 여러 차례 유출된 데이터가 결합될 경우 위험성이 크게 높아질 수 있다는 지적이다.
보안업계에서는 이미 유출된 정보들이 서로 연결될 경우 개인의 소비 패턴과 취향, 생활 정보까지 복원할 수 있다고 우려한다. 예를 들어 과거 유출된 쇼핑 이력 데이터와 티빙의 콘텐츠 이용 정보가 동일한 CI를 통해 연결될 경우 특정 개인의 온라인 활동을 상당 부분 식별할 수 있다. 여기에 주소나 연락처 정보까지 결합되면 보이스피싱이나 스미싱 등 2차 범죄 위험도 커질 수 있다.
이같은 점을 우려해 개인정보위는 반복적, 중대한 개인정보 침해 행위에 대해 전체 매출액의 10%까지 과징금을 부과할 수 있도록 개인정보보호법 시행령 개정안을 내 놓았다. 종전에는 전체 매출의 최대 3% 였다. 개인정보보호를 등한시 한 기업에게 징벌적 과징금을 부과해 보안 투자를 유도하겠다는 의도다. 오는 9월 11일부터 시행되며 현재는 입법 예고 기간으로 의견 수렴을 진행중이다.
업계에선 개인정보보호법 개정안이 국내 기업을 역차별하는 사례가 될 수 있다고 본다. 쿠팡이 좋은 예다. 개인정보위는 오는 10일 전체회의를 통해 쿠팡 개인정보 유출에 대한 최종 제재 수위를 결정할 계획이다.
유출 당시 적용된 현행법상 최대 과징금은 전체 매출액의 최대 3%로 1조원을 넘어선다. 하지만 미국 정부가 쿠팡 사례를 놓고 자국 기업들에 불이익을 준다며 반발하고 있어 실제 제재 수위는 이보다 낮을 것으로 보인다. 법조계에서는 쿠팡에 부과될 과징금 규모를 약 3000억~4000억원 규모로 보고 있다.
때문에 과징금 상향을 골자로 한 개인정보보호법 개정안이 국내 기업에 대한 역차별로 이어질 수 있다는 우려도 나온다. 글로벌 플랫폼 사업자에 대한 집행은 쉽지 않은 반면 국내 기업만 규제 부담이 커질 수 있다는 이유에서다. 업계에서는 쿠팡 제재 결과가 향후 유출 사고에 대한 판단 기준이 될 것으로 보고 있다.
박춘식 전 아주대학교 사이버보안학과 교수는 "개인정보 보호 책임을 강화하는 방향 자체는 필요하지만 국내 기업만 과도한 부담을 지게 된다는 인식이 형성될 경우 역차별 논란이 불거질 수 있다"며 "처벌 강화와 함께 기업의 보안 투자 확대를 유도하는 정책이 병행돼야 한다"고 말했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
