[뉴스토마토 배희 기자] 최근 297만 명의 고객 정보를 유출한 롯데카드에 대해 개인정보보호위원회가 부과한 96억2000만원의 과징금을 두고 제재 실효성 논란이 일고 있습니다. 롯데카드는 온라인 결제 로그에 주민등록번호를 평문으로 기록하는 등 보안 조치의 결함을 드러냈지만 부과된 과징금은 연 매출액의 0.3% 수준에 그쳤습니다. 과징금 집행 과정에서 기업에 실질적인 경각심을 주지 못한다는 지적이 나옵니다.

 

우리나라는 신용정보법과 개인정보보호법상 과징금 상한선을 매출액의 3%로 두고 있습니다. 하지만 실제 과징금이 산정되는 과정에서 감경되는 경우가 많습니다. 현행 과징금 부과 기준은 기업의 조사 협조도나 사후 시정 노력 등을 고려해 상당 부분을 감경할 수 있도록 설계되어 있습니다. 또 전체 매출액 중 '위반행위와 관련이 없는 매출액'을 제외하도록 돼 있어 상한보다 한참 적은 과징금이 부과되는 경우가 많습니다.

 

해외 주요국은 기업의 과실에 대해 보다 엄격한 경제적 책임을 묻고 있습니다. 유럽연합(EU)의 일반개인정보보호규정(GDPR)은 위반 시 전 세계 매출액의 4% 또는 한화 약 3400억원에 해당하는 2000만유로 중 높은 금액을 상한으로 적용합니다. 미국 역시 2017년 에퀴팩스 사례에서 7억 달러(한화 약 8000억원) 규모의 합의금을 부과하며 기업이 감당해야 할 사회적 비용을 명확히 규정했습니다.

 

징벌적 손해배상제 역시 유명무실하다는 평가가 지배적입니다. 개인정보보호법상 손해액의 5배까지 배상이 가능하지만 법원에서 인정되는 실제 위자료는 인당 10만원으로 책정돼 최대 50만원 수준에 머물러 있습니다. 특히 소송에 직접 참여한 인원만 배상을 받는 폐쇄적 구조는 대다수 피해자를 구제 범위 밖으로 밀어내고 있습니다. 전문가들은 기업이 낸 합의금이나 과징금 일부를 소비자 보상 기금으로 강제 할당해 유출 사고 시 모든 피해자가 보상받을 수 있는 시스템 도입이 시급하다고 제언했습니다.

 

개인정보 유출 사고를 근절하기 위해서는 확실한 피해 보상과 징벌이 필요합니다. 반복되는 유출 사고에도 처벌 수위가 기업의 경제적 이익을 침해하지 않는 수준에 머문다면 지배구조 차원의 보안 강화는 요원할 수밖에 없습니다. 감액 중심의 과징금 산정 기준을 재정비하고 징벌적 배상의 하한선을 글로벌 수준으로 상향하는 등 제도적 보완이 뒷받침돼야 개인정보 주권을 실질적으로 보호할 수 있을 것입니다.

 

 

배희 기자 SheisHe@etomato.com