개인정보보호위원회는 SK텔레콤의 과징금 불복 소송에 적극 대응하고, 미국 정치권을 앞세워 '한국 정부가 미국 기업 쿠팡을 마녀사냥하고 있다'는 식의 주장을 펼치고 있는 쿠팡에 대해 "국내 기업, 해외 기업 구분하지 않고 개인정보 보호법 위반 여부를 원칙대로 철저하게 조사하고 처분을 내리겠다"고 밝혔다.
최근 SK텔레콤이 개인정보위로부터 부과받은 1300억원대 과징금이 부당하다면서 취소 소송을 낸 것에 대해 송경희 개인정보보호위원장은 21일 "개인정보 유출로 인한 금융 피해가 없었고 부당이득을 취하지 않았기 때문에 과징금이 부당하다는 주장은 논리에 맞지 않는다"면서 이같이 말했다.
송 위원장은 이날 서울 중구 프레스센터에서 열린 신년 기자간담회에서 "미국이나 유럽연합(EU) 등 해외 사례만 봐도 대규모 개인정보 유출에 부과하는 과징금은 기업이 개인정보를 제대로 관리하지 못한 것에 대한 책임을 묻는 성격"이라며 "SK텔레콤의 과징금은 여러 법적 사항을 철저하게 검토하고 상정해서 나온 처분이기 때문에 취소 소송에 적극적으로 대응하겠다"고 강조했다.
앞서 개인정보위는 지난해 4월 해킹 공격으로 2700만명에 달하는 고객 개인정보 유출 사고를 낸 SK텔레콤에 과징금 1347억9100만원과 과태료 960만원을 부과했다. 이는 개인정보위가 국내 기업에 부과한 역대 최대 규모의 과징금으로, 2022년 구글(692억원)·메타(308억원)에 부과한 과징금을 넘어섰다.
SK텔레콤은 지난 19일 과징금이 유사한 사례와 비교해 과도하다며 개인정보위를 상대로 처분 취소 소송을 냈다. 해킹 사고 이후 보상안과 정보보호 혁신안 마련에 총 1조2000억원을 투입한 점, 유출로 인한 금융 피해가 없었던 점 등을 고려해야 한다는 게 SK텔레콤 측의 입장인 것으로 알려졌다.
송 위원장은 쿠팡의 대규모 개인정보 유출 사태에 대해서도 "조사가 상당히 진행됐다"며 "확실한 것은 3000만명이 넘는 쿠팡 회원의 개인정보가 유출됐고, 여기에 (가입자가 입력한 가족 등 미가입자의 배송지 주소, 전화번호 등) 비회원 정보까지 추가되면 규모가 더 늘어날 것으로 보인다"고 했다. 쿠팡이 자체 조사 결과라며 알려진 유출 규모의 1만분의 1수준인 3000명의 개인정보만 유출됐다고 발표한 것에 대한 반박이다.
쿠팡의 대응을 둘러싼 논란에 대해서는 "기존 개인정보 유출 사업자나 기관과 비교하면 (쿠팡의 대응이) 미흡했던 것은 사실"이라면서 "개인정보위는 개인정보보호법 위반 여부에 근거해서 쿠팡을 조사해 처분을 내릴 것이고, 이건 해외 사업자든 국내 사업자든 상관없이 똑같이 적용된다"고 강조했다.
해킹 피해 의혹에 일부 서버를 재설치하거나 폐기한 사실이 확인된 LG유플러스에 대해서는 "매우 심각한 문제로 인식하고 있다"라며 "(향후 유사한 사태를 방지하기 위해) 강제조사권, 자료 보존 명령 등을 담은 법률안을 마련하고 있다"고 했다.
나아가 지난해 개인정보 유출 사고를 겪은 KT, 롯데카드, 넷마블, 교원그룹 등에 대한 조사도 현재 진행 중이고 "멀지 않은 시기에 마무리될 것"이라고 덧붙였다.
이날로 취임 100일을 조금 넘긴 송 위원장은 "지난해 개인정보위가 가장 주목받은 부분은 안타깝게도 통신사, 유통 플랫폼 등 국민 생활 밀접 분야에서 발생한 대규모 개인정보 유출 사고였다"라고 했다. 그는 "이들 기업은 대량의 개인정보를 보유하고 있는 만큼 그에 상응하는 높은 수준의 보호 조치가 요구되지만, 실제 조사 과정에서 확인된 많은 사고들은 첨단 해킹 기법보다는 기본적인 관리·점검·통제의 부재에서 비롯된 경우가 적지 않았다"고 지적했다.
송 위원장은 "이는 개별 기업의 문제뿐만 아니라 사후 대응에 치중해 온 기존 보호 체계의 구조적 한계를 보여주는 측면도 있다"며 "특히 인공지능(AI)과 자동화 기술이 확산된 환경에서는 개인정보 침해가 발생한 이후 조사하고 처벌하는 방식만으로는 국민을 실질적으로 보호하기 어렵다"고 했다. AI 기반 서비스와 플랫폼 환경에서는 한 번의 관리 실패가 단기간에 대규모·연쇄적 피해로 확산될 수 있고, 사고를 인지하고 대응했을 때는 이미 개인정보가 복제·유통된 이후인 경우가 많다는 설명이다.
그러면서 "개인정보 보호체계를 사후제재가 아닌 사전예방 방식으로 전환하겠다"고 강조했다. 조직과 인프라 측면에서 예방 기능을 강화하기 위해 지난해 말 사전 예방을 전담하는 부서를 설립했고, 포렌식 센터도 신설했다. 그는 "올해 기술분석 센터를 구축해 주요 분야에 대한 사전실태점검과 예방적 조치가 제대로 이뤄질 수 있도록 하겠다"고 했다.
송 위원장은 사전 예방 중심 체계로의 전환이 제재 약화를 의미하는 것은 아니라고 강조했다. 그는 "중대·반복 위반에 대해서는 전체 매출액의 최대 10%에 달하는 과징금을 부과하는 징벌적 과징금 특례를 도입하는 방안을 추진 중"이라며 "이는 처벌을 강화하기 위한 목적이 아니라 개인정보 보호를 기업의 선택이 아닌 경영의 전제 조건으로 인식하도록 하는 구조적 장치"라고 설명했다.
또 기업이 선제적으로 개인정보 보호에 투자하고 예방 조치를 충실히 이행한 경우에는 과징금 감경 등 혜택을 주는 인센티브 제도의 법적 근거를 확보하겠다고 덧붙였다.
아울러 개인정보 보호 책임 구조 자체를 근본적으로 강화하기 위해 최고경영자(CEO)의 개인정보 보호에 대한 최종 책임을 명확히 하고, 개인정보보호책임자(CPO)의 권한 강화와 CPO 지정 신고제 도입 등을 포함한 법 개정도 추진 중이다.
이 밖에 딥페이크 등 AI 시대 새로운 개인정보 침해 위협에도 지속적으로 대응하는 차원에서 개인정보 처리 기준에 대한 연구도 강화한다는 계획이다.