2020년 8월 중앙행정기관으로 출범한 개인정보보호위원회가 이제 만 1년 6개월을 맞았다. 이미 수많은 해킹 사건과 개인정보 유출 사고로 주민등록번호마저 ‘공공재’가 된 지 오래된 상황에서 개인정보위는 자포자기한 국민을 대신해 정보 권리를 위해 싸우는 거의 유일한 정부 기관이다.
그러나 아직 국민이 효과를 체감할만한 정책이 드물었던 것도 사실이다. 윤종인 개인정보보호위원회 위원장은 “이제 겨우 출범 후 연안 정도를 항해하는 것 같다”며 “대양에 나서기 전에 조금 더 분발해서 국민이 존재감을 느낄 수 있도록 하겠다”고 약속했다.
그 첫 발자국은 개인정보를 불법으로 사용한 기업에 대한 과징금을 대폭 늘리는 개인정보보호법 2차 개정안의 국회 통과 여부가 될 전망이다. 그는 “최근 5년간 개인정보 유출 사고 처벌을 위한 과징금과 과태료 총합 대비 유출 건당 부과액은 338원에 불과하다는 지적이 있다”며 “개인정보를 활용해 엄청난 돈을 벌고 있는데 위반행위에 대한 페널티가 작다면 오히려 위반행위를 장려하는 것”이라고 지적했다.
그는 또 지금의 빅테크 기업 전성시대를 ‘기술 진격의 시대’로 규정하고 향후 빈번해질 인터넷 정보 유출 사건에 대한 경각심이 필요하다고 강조했다. 그를 9일 정부서울청사 개인정보위원장 집무실에서 만났다. 이하 일문일답.
-개인정보에 관해선 자포자기한 국민이 많다. 유출된 내 정보의 적정가격은 얼마인가?
“그런 조사를 해본 경우가 있기는 하다. 여러 정보를 나열하며 ‘어떤 정보를 사겠냐’고 물었을 때 우리의 경우 주민등록번호가 가장 가격이 높았던 것으로 기억한다. 1000~2000원 수준이었다. 그런데 이건 개인이 가지는 지불 의사를 묻는 정도다.
한편으로 유출 건수를 기준으로 가격을 산정할 수 있다. 최근 5년간 2700만여건의 과징금·과태료 총액을 유출 사건 1건당 가격으로 환산하니 338원이라는 보도도 있었다.”
-최근 페이스북의 정보유출 사건이 있었다.
“페이스북 계정으로 다른 앱에 로그인할 때 본인 정보뿐 아니라 그 사람의 친구 정보까지 넘겼던 사건이다. 개인정보위가 과징금 67억원을 부과했다. 그런데 동일한 사안에 대해 미국 연방거래위원회(FTC)는 50억 달러(약5조9000억원)의 과징금을 매겼다. 동일 사안인데 우리의 880배다. 우리 국민의 정보는 덜 중요한 것인가? 이런 문제가 놓여있다.”
-개인정보법 개정안은 과징금을 강화하고 있다.
“현재 우리 법제는 형벌 위주다. 그걸 오랫동안, 지속해서 경제벌로 전환해달라는 요구가 있었다. 그런데 지금 경제벌의 상한이 (개인정보 유출건의) ‘관련’ 매출액 3%다. 이걸 ‘전체’ 매출액의 3%로 상향 조정하려 한다. 밸런스를 맞춰서 산업계 요구도 충족했다고 본다.”
-기업계의 반발이 적지 않을 텐데.
“현재 ‘관련 매출액’ 기준은 지금처럼 데이터가 크게, 광범위하게 쓰일 것이라는 걸 전제하지 않은 거다. 지금은 데이터가 만들 가치가 매우 크다. 이를 이용해 엄청난 돈을 벌고 있는데 위반 행위에 대한 페널티가 작다면 오히려 위반 행위를 장려하는 셈이 된다. 기업이 활용하는 데이터 규모가 커지면 위반행위에 대한 책임도 커지는 게 맞다. 그게 비례성이다.
다만 위반행위자를 다 처벌하는 게 아니다. 위반 행위의 규모와 영향 등을 고려해야 한다. 전체 매출액의 3%는 과징금의 상한일 뿐이다. 최종적으로 기업이 자료의 암호화 조치 같은 최선을 다했음에도 해킹 등 불의의 사고가 난다면 면책도 가능하다. 산업계에서 ‘관련 매출액’만이 정답이라고 주장하는 것은 디지털 시대에 발생할 위반행위에 대한 본인의 책임을 다하지 않겠다는 것으로 국민이 받아들일 수 있다.“
-기업의 데이터 중 정보자료의 비중은.
“테크 기업들의 시장가치를 주식으로 평가하면 수십년 이어져 온 제조업의 가치를 쉽게 넘어섰다. 상장하지 않은 기업들조차 그렇다. 그 가치가 어디서 왔을까. 데이터에서 온 것이고 그 데이터의 70%가 개인정보다.
그런데 디지털 시대에 개인정보의 가치가 커지는데 이와 관련된 위법 사항에 대해 제한적으로 책임을 지겠다는 건 고객과의 신뢰 가치에 반한다고 생각한다. ESG(환경·사회·지배구조)에도 개인정보 보호 관련 항목이 다 들어가 있다. 기업이 보호해야 할 중요한 요소라는 건 명백하다.
또 우리 기업이 외국에서 적발됐을 때는 전체 매출액의 4%로 얻어맞고 외국 기업이 우리나라에선 관련 매출액의 3%만 과징금으로 내는 건 우리 국민 법 감정에도 맞지 않는다.”
-현재는 기업이 잘 협조하지 않을 것 같은데
“관련 매출액이라고 하니까 자료를 안 준다. 그런데 전체 매출액으로 하면 입증 책임을 기업이 지게 된다. 전체 매출액은 시장에 공개되기 때문에 그에 준해 부과하면 간단하다.”
-최근 다크웹에 유출된 개인정보를 확인할 수 있는 ‘털린 내 정보 찾기’ 서비스를 내놓았다.
“나도 아이디·비밀번호 4개의 조합을 넣어봤는데 그중 하나가 털려서 다크웹에 유통되고 있더라. 과거에 쓰던 패스워드라서 굳이 찾아가서 바꾸진 않고 ‘털렸구나’ 정도로만 알고 있다. 지금은 개인정보가 디지털 시대의 원유다. 얼마나 많이 수집해서 쓰고 있겠나. 앞으로 인터넷에 개인정보가 유출되는 양상이 늘어날 수밖에 없다.”
-다크웹에 유통되는 피해 규모는.
“개인정보 유·노출 사고의 80% 정도가 아주 간단한 단순 해킹에 의한 거다. 이렇게 털리면 다크웹에 가져가서 암호화폐(가상화폐)로 판다. 그 시장에는 개인도 있지만 특정 국가도 조직적으로 수입을 올리고 있다는 이야기도 있다. 개인정보 유출의 가장 큰 문제는 스미싱, 피싱 등 2차 피해로 연결된다는 거다. 이런 걸 예방하기 위해 ‘털린 정보’ 서비스를 열었고 접속자가 200만명에 육박하고 있다.”
-인공지능(AI)·음성명령·CCTV 등 나도 모르게 채집되는 개인 정보가 많다.
“과거 바퀴를 발명하면 몇천 년도 썼지만 지금은 기술이 또 다른 기술을 금세 개발하는 ‘기술 진격’의 시대다. 최근 열화상 카메라가 단순 열 체크만 하는 게 아니라 얼굴 영상을 서버로 전송한다든지, 아파트 벽면에 부착된 ‘월패드’가 해킹 사고로 인해 수많은 가구의 프라이버시가 팔려나가는 경우가 있었다.
지금은 ‘사물인터넷(IoT)’ 활성화로 걸어다니고 숨만 쉬어도 내 개인정보가 수집된다. 따라서 제조업자나 서비스 제공자가 처음 제품을 개발할 때 개인정보를 수집할 것인지 말 것인지, 수집할 때는 어떻게 동의받아야 하는지 미리 체크하는 게 필요하다. 이를 ‘프라이버시 바이 디자인’이라고 한다. 내가 어디를 가는지 모든 사람에게 오픈되는 것 같은 벌거벗은 사회를 살지 않으려면 궁극적으로 법제화돼야 한다.”
-코로나19로 인한 근무형태 변화도 정보 유출 위험을 확대한다.
“지금은 데이터를 기반으로 하는 플랫폼 기업들, 온라인이 오프라인을 지배하고 있다. 그게 경제의 성장 엔진이 됐다. 그런데 코로나19가 이 성장엔진을 더 빠르게 성장토록 하고 있다. 우리 위원회로서는 기업이 데이터를 쓸 때 법규에 맞게, 정보 주체의 최선의 이익이 되도록 하는 게 목표다. 정보 주체의 권리를 침해하지 않아야 한다. 두 번째로 기업이 정보 이용 과정을 투명하게 알리면 좋겠다.
국가의 감시뿐 아니라 민간의 감시도 주의해야 한다. 빅테크 기업이 고객 정보를 언제 어떻게 어떤 목적으로 쓰는지를 투명하게 공개하고, 법규에 맞게 개인의 정보 권리를 침해하지 않도록 원칙을 만드는 게 중요하다.”
강준구 기자 eyes@kmib.co.kr