1. 주제 다가서기

2025년 들어 우리나라에서는 통신사, 카드사, 전자상거래 플랫폼 등 업종과 규모를 가리지 않고 대규모 개인정보 유출 사고가 잇따라 발생했다. 보안 업계의 추산에 따르면 최근 1년간 국내기업에서 유출된 개인정보는 약 6,000만 건에 달하며, 지난 10여 년간 누적된 유출 건수는 최소 3억 건을 넘어선다. 이를 단순 계산하면 국민 1인당 평균 6~7회 이상 개인정보가 유출된 셈이다. 이러한 현실 속에서 “개인정보는 이미 공공재가 된 것 아니냐”는 씁쓸한 농담까지 나올 정도다.

문제는 이처럼 반복되는 개인정보 유출 사고에도 불구하고, 기업의 책임과 처벌이 충분하지 않다는 지적이 많다. 개인정보 관리 주체인 기업들은 과연 개인정보 보호를 위해 어떤 노력을 기울이고 있으며, 유출 사고가 발생했을 때 피해자 보호에 얼마나 적극적으로 나서고 있는지 의문이 제기된다.

이와 대조적으로 유럽연합(EU)은 일반개인정보보호법(GDPR)을 통해 개인정보 보호 수준을 대폭 강화했다. GDPR은 기업의 고객 정보 관리 책임을 명확히 규정하고, 이를 위반할 경우 매출액의 일정 비율에 해당하는 과징금 등 강력한 제재를 부과한다. 특히 우리나라 제도와는 달리, GDPR에서는 개인정보 유출 피해자가 기업의 과실을 입증해야 하는 것이 아니라, 기업이 피해자의 손해에 과실이 없음을 증명해야 책임에서 벗어날 수 있다. 이는 개인정보 보호에 대한 책임의 무게를 기업에 두고 있다는 점에서 큰 차이를 보인다.

잇따르는 개인정보 유출 사고를 막기 위해서는 사후 대응에 머무르지 않고, 기업의 예방책임을 강화하는 한편 제도 전반을 점검할 필요가 있다. 아울러 기업이 보안 투자를 확대하도록 유도하고, 피해자가 보다 쉽게 구제받을 수 있도록 실효성 있는 제도적 장치를 마련하는 등 다각적인 노력이 필요하다.

2. 주제 관련 신문기사

‣ 동아일보 2025년 12월 12일 정보유출 4건 중 1건은 유통업체…사전점검 2년간 ‘0건’

‣ 국민일보 2025년 12월 9일 쿠팡 사태, 이제는 기업 책임 제대로 묻자

‣ 한국경제 2025년 12월 10일 겁줘도 늘어난 산재처럼…“과징금 폭탄만으론 기업 보안력 못 높여”

3. 신문 읽기

<읽기자료 1>

정보유출 4건 중 1건은 유통업체… 사전점검 2년간 ‘0건’

최근 4년 139건 중 유통업 34건

소비자 구매정보 노린 해킹 반복

최근 4년간 개인정보 유출 사고 4건 중 1건은 쿠팡 같은 유통업계에서 발생했던 것으로 나타났다. 국회 정무위원회 소속 더불어민주당 이인영 의원실이 개인정보위원회(개인정보위)로부터 제출받은 자료에 따르면 2022년부터 올해까지 최근 4년간 총 139곳이 개인정보 유출로 과징금 처분을 받았다. 이 중 이커머스, 식음료 업장, 의류업체, 여행업체 등 유통기업이 34건(24.4%)으로 가장 많은 비중을 차지했다. 이어 정보기술(IT)․플랫폼 기업 32건(23.0%), 공공기관 16건(11.5%), 교육업계 15건(10.7%), 금융업 14건(10.0%), 제조업 11건(7.9%)순으로 나타났다.

유통기업에서 개인정보 유출 사고가 자주 일어나는 이유는 이용자 수가 많으면서 주소, 연락처, 구매정보 등 개인을 파악할 수 있는 정보가 많기 때문이다. 이번 쿠팡의 대규모 개인정보 유출 사건에서도 주소, 메일, 연락처 외에 최근 구매한 제품 5건의 이력이 유출됐다.

김명주 서울여대 정보보호학과 교수는 “유통업은 고객의 선호도를 파악한 마케팅이 중요한 업종이어서 고객의 구매정보 이력이 중요한 가치를 지닌다”며 “개인정보와 구매 이력을 합치면 개인의 취향이나 소비 패턴을 알 수 있는 만큼 내부자를 통한 불법적 유출이나 해커들의 공격에 노출되는 경우가 많다”고 설명했다.

유통업계에서 개인정보 유출 사건이 빈번하게 일어나고 있지만 이를 예방하기 위한 개인정보위의 ‘사전 실태 점검’은 빅테크․플랫폼 기업 중심으로 진행되고 있다. 제도 도입 이후 지난해와 올해 총 6건의 점검이 실시됐지만 이 중 유통기업에 대한 조사는 ‘0’건이었다. 올 7월 한 애플리케이션(앱)에 여러 서비스가 연계된 슈퍼앱 점검에서 쿠팡이 조사 대상에 포함됐지만 쿠팡플레이, 쿠팡이츠 등 다은 앱들과의 데이터 공유 점검 차원에서 마무리됐다.

개인정보위 관계자는 “매년 개인정보와 관련된 굵직한 현안이 발생하고 있지만 조사 인력은 2022년 31명에서 더 늘어나지 않았다”며 “사실상 한 명이 다수의 조사를 수행하고 있다 보니 사전 실태 점검을 확대하기는 쉽지 않은 상황”이라고 말했다. 개인정보위는 내년도 사전 실태 점검 때는 유통기업에 대한 조사를 강화할 방침이다.

<출처: 동아일보 2025-12-12>

<읽기자료 2>

쿠팡 사태, 이제는 기업 책임 제대로 묻자

쿠팡에서 3370만명의 개인정보가 유출되는 사태가 벌어졌다. 이름, 주소, 연락처는 물론 주문 기록과 공동현관 비밀번호까지 빠져나가며 스미싱과 계정 탈취 등 2차 피해 우려가 현실화되고 있다. 그런데도 쿠팡은 ‘유출’대신 ‘노출’이라는 표현으로 사안을 축소했고, 바로잡으라는 당국의 권고마저 따르지 않았다. 수천만 명을 위험에 빠뜨려 놓고 말장난으로 대응하는 태도는 ‘이렇게 해도 별일 없다’는 잘못된 학습효과가 기업 내부에 자리 잡았음을 보여준다.

실제로 SK텔레콤 유심 해킹, KT소액 결제 사고, 롯데카드 개인정보 유출 등 대형 사고가 반복됐지만 기업은 제대로 책임지지 않았다. 손해배상 소송은 오래 걸리고 실질적 보상도 미미해 예방 효과가 없다. 한국이 유출 사고에 둔감해지는 이유는 구조 자체가 잘못됐기 때문이다. 피해자가 기업의 과실을 직접 입증해야 하고, 분쟁 조정도 기업이 거부하면 효력이 없다. 최근 SK텔레콤이 개인정보보호위원회의 30만원 배상 권고를 거부한 사례는 기업이 마음만 먹으면 책임을 피할 수 있다는 사실을 단적으로 보여준다. 경쟁이 제한된 통신․플랫폼 산업에서는 고객 이탈도 크지 않아 기업이 더 안심한다. 개인정보를 제대로 보호하는 데 드는 재무적 부담보다 유출 이후 책임과 비용이 훨씬 적으니 사고가 반복될 수밖에 없다.

외국은 다르다. 집단소송, 징벌적 손해배상, 증거개시(디스커버리) 제도가 기업의 책임을 강제한다. 기업이 사고 초기부터 책임 인정과 신속한 보상, 재발 방지책을 내놓는 이유는 소송으로 가면 천문학적 배상을 져야 하기 때문이다. 강력한 민사 구조가 있기에 개인정보 보호에 충분한 비용을 투입할 수밖에 없다. 그러나 우리나라에서 집단소송제와 징벌적 손해배상제는 일부 영역에만 제한적으로 도입돼 있고, 그마저도 사실 작동하지 않는다. (중략)

정부의 과징금 부과 방식에도 한계가 있다. 경영 상황을 고려하지 않은 막대한 과징금 부과는 현실적으로 쉽지 않고, 결국 불복 소송으로 이어진다. 그래서 소비자 보호 3법인 집단소송, 징벌적 손해배상, 디스커버리 제도가 필요하다. 우선 포괄적 집단소송제 도입은 더는 미룰 수 없다. 피해자가 각자 기업을 상대로 소송을 제기하는 구조에서는 예방도 구제도 불가능하다. 동일한 사고를 미국에서 일으켰다면 쿠팡은 수천억원대 소송에 직면했을 것이고, 한국처럼 유출이니 노출이니 말장난하며 시간을 끌지는 못했을 것이다. 징별적 손해배상은 지금보다 훨씬 강력해야 한다. 기업이 ‘사고 후 비용이 더 싸다’고 판단하는 한 유출은 반복된다. 징벌적 배상의 본질은 ‘응징’이 아니라 ‘사전 예방’이며, 예방 효과는 강력한 제재에서 나온다. 디스커버리제 도입도 필수다. 피해자가 유출 정확과 규모, 기업의 과실까지 입증하라는 건 현실을 무시한 요구다. 기업 내부 자료 없이는 원인은 물론 책임 규명도 불가능하다. 유출 사태 앞에서 기업이 조소가 아니라 ‘경악’이 따를 만큼 강력한 책임 체계가 필요하다. 그것이 제대로 된 시장경제다.

<출처: 국민일보 2025-12-09>

<읽기자료 3>

겁 줘도 늘어난 산재처럼… “과징금 폭탄만으론 기업 보안력 못 높여”

● 당정 “개인정보 유출 땐 매출 10% 과징금”

정부․여당이 개인정보 보호 위반행위에 매기는 과징금을 매출액의 최대 3%에서 10%로 상향하는 초강수를 둔 건 반복되는 개인정보 유출 사고에도 일부 기업이 사고 예방에 충분한 노력을 기울이지 않는다는 판단에서다. 올해 SK텔레콤, 롯데카드, 쿠팡 등 주요 기업의 고객 개인정보가 유출되는 사고가 잇따르자 정치권 안팎에선 제재를 강화해야 한다는 지적이 나왔다. 개인정보보호위원회는 “매출액의 최대 10%(싱가포르)까지 부과하는 외국 사례와 비교했을 때 국내 제재는 ‘솜방망이 처벌’이라고 보고 있다. 야당인 국민의힘도 중대한 과실을 반복한 기업 또는 1000만 명 이상에게 피해를 끼친 기업에 매출의 최대 10%를 과징금으로 매기는 개인정보보호법 개정안을 내면서 법 처리에 속도가 붙을 전망이다.

● 여야, 과징금 확대 공감

여야가 발의한 법 개정안에 공통적으로 담긴 내용은 ‘반복적·중대한 개인정보 침해 사고에 대한 과징금 도입’에 관한 특례 조항이다. 최근 3년간 고의 또는 중대한 과실로 인해 위반행위를 반복한 경우, 공의 또는 중대한 과실로 대규모(1000만 명 이상) 정보주체에게 피해를 초래한 경우, 시정명령 불이행으로 개인 정보를 유출한 경우 등을 징벌적 과징금 부과 대상으로 정했다.

● 업계 ”보상도 함께 줘야”

업계에선 징벌 위주 대책만으로는 실효성을 거두기 어렵다는 지적이 나온다. 대형 플랫폼 업계 관계자는 “과징금 규모도 문제지만, 이후 발생할 집단소송 등의 후폭풍을 감안하면 사실상 기업의 존폐가 달린 문제”라며 “이를 막기 위해선 구글 등 빅테크처럼 천문학적인 규모의 투자를 보안에 쏟아부어야 한다”고 호소했다.

통신·플랫폼 등 개인정보를 보유한 기업들이 가장 우려하는 것은 ‘100%방어’가 불가능하다는 점이다. 통신업계 관계자는 “일단 내부 단속에 최선을 다한다고 해도 외부 해킹을 통한 개인정보 유출이 과징금 부과 대상에 해당하는지 불분명하다”며 “만일 외부 해킹에 의한 피해까지 과징금 대상에 포함된다면 기업들이 실제 보안 투자를 얼마나 할 수 있을지 의문”이라고 지적했다. 해커는 한 곳만 뚫으면 되지만, 방어하는 기업은 모든 방면의 위협을 100% 방어해야 하기 때문에 사실상 통제가 불가능하다는 얘기다.

전문가들은 징벌에만 초점을 맞추면 산업 현장의 재해와 비슷한 결과로 이어질 수 있다고 우려한다. 최근 이재명 대통령은 잇따른 산재 사고와 관련해 “겁주고 수사해도 산재가 안 준다”며 담담함을 토로했다. 업계 관계자는 “지나치게 과도한 규제는 기업의 자진 신고를 꺼리게 하는 요인이 될 수 있다”며 “정보 유출에 대한 제재와 함께 재발 방지를 위한 인센티브 등 지원책도 정부 차원에서 함께 논의할 필요가 있다”고 강조했다. 유출 방지를 위해 노력한 기업에 인세티브를 주는 제도도 필요하다는 얘기다.

일각에선 정부의 징벌 일변도 정책이 팰로앨토 등 미국 빅테크에 대한 의존만 높일 것이란 지적도 나온다. 국내 보안기업들의 규모가 영세한 데다 전문 인력을 구하는데도 난항을 겪고 있어서다.

<출처: 한국경제 2025-12-10>

4. 생각 열기

◈ 기본활동 1) <읽기자료 1>을 읽고, 유통업계에서 개인정보 유출 사고가 빈번하게 발생하는 이유를 정리해 봅시다.

·

◈ 기본활동 2) <읽기자료 1>을 읽고, 개인정보위원회의 사전 실태 점검이 충분하지 못한 이유는 무엇인지 찾아봅시다.

·

◈ 기본활동 3) <읽기자료 2>를 읽고, 개인정보 유출 사고가 반복되는 이유를 ‘구조적인 문제’를 중심으로 정리해 봅시다.

·

◈ 기본활동 4) <읽기자료 2>를 읽고, 개인정보 유출을 막기 위해 필요하다고 제시한 제도적 해결책 3가지와 그 이유를 정리해 봅시다.

·

◈ 기본활동 5) <읽기자료 3>을 읽고, 여야가 공통적으로 제시한 ‘징벌적 과징금 부과 대상’이 되는 경우를 설명해 봅시다.

·

◈ 기본활동 6) <읽기자료 3>을 읽고, 징벌적 과징금 확대에 대해 우려하는 점은 무엇인지 찾아봅시다.

·

◈ 기본활동 7) <읽기자료 2, 3>에서 공통으로 제기하는 문제가 무엇인지, 두 기사의 주장은 어떻게 다른지 비교해 봅시다.

5. 생각 키우기

◈ <선택활동 1> 가족이나 주변 사람의 개인정보가 유출된 경험과 그로 인해 겪었던 어려

움에 대해 이야기해 봅시다.

◈ <선택활동 2> ‘기업의 개인정보 유출을 막기 위해 징벌적 처벌을 강화해야 할까?’를 주제로 찬반 입장을 나눠 토론해 봅시다.

◈ <선택활동 3> 기업이 개인정보를 안전하게 지키고, 피해를 본 사람이 쉽게 도움을 받을

수 있도록 어떤 정책을 만들면 좋을지 제안해봅시다.

6. 더 알아보기

◈ GDPR(일반정보보호규정, General Data Protection Regulation)이란?

GDPR은 유럽연합(EU)이 실효성 있는 개인정보 보호를 위해 도입한 개인정보 보호법으로, 자연인(natural person)의 기본권과 자유, 특히 개인정보보호에 대한 권리를 보호하고, EU역 내에서 개인정보의 자유로운 이동을 보장하는 것을 목적으로 한다.

1) 개인정보의 정의

GDPR에서 개인정보란, 식별되거나 식별 가능한 정보주체(자연인)와 관련된 모든 정보를 의미하며 다른 정보와의 결합을 통하여 개인을 식별할 수 있는 정보도 개인정보로 포함된다.

또한 문자에 한정되지 않고 숫자, 음성, 사진, 영상, 그림 등 다양한 형태를 포함한다.

● 개인정보의 예

- 성명, 주소, 이메일 주소, 신분증 번호

- 위치 정보, IP주소, 휴대전화의 식별정보

- 신체적·생리학적·유전자적·정신적·경제적·문화적·사회적 특성에 관한 정보

2) 정보주체의 권리 강화

GDPR은 정보주체의 권리를 확대․강화하기 위해 다음과 같은 권리를 명확히 규정하였다.

- 개인정보 삭제권(잊힐 권리)

- 개인정보 처리 제한권

- 개인정보 이동권

- 개인정보 처리에 대한 반대권(거부권)

3) 기업의 책임성 강화

GDPR은 개인정보 보호에 대한 기업의 책임을 강화하기 위해 개인정보 처리 활동의 기록 유지, 개인정보 영향평가 수행 등의 의무를 규정하고 있다.

4) 제재규정

● 손해배상

GDPR 위반의 결과로 물질적 또는 비물질적 손해를 입은 정보주체는 그 손해에 대하여 개인정보를 관리하는 사람이나 회사로부터 배상을 받을 수 있다. 개인정보를 관리하는 주 체는 GDPR을 위반하는 처리가 일으킨 손해에 대하여 책임을 져야한다. 다만 손해를 일으 킨 사건에 대하여 책임이 없음을 입증하면, 책임 면제가 가능하다.

● 과징금

GDPR은 위반행위에 대해 강력한 과징금 부과 원칙을 적용한다.

- 원칙 및 계약 위반: 전 세계 연간매출액 2% 또는 1,000만 유로 중 큰 금액

- 심각한 위반: 전 세계 연간매출액 4% 또는 2,000만 유로 중 큰 금액

[출처: 개인정보포털 http://www.privacy.go.kr]

