최근 5년간 국내에서 발생한 개인정보 유출 사고가 8천800만 건을 넘은 것으로 나타났다. 그러나 이에 따른 처벌 수위는 미미한 수준에 그쳐, 건당 부과된 과징금이 평균 1천 원 수준에 불과했던 것으로 밝혀졌다.

국회 정무위원회 소속 더불어민주당 민병덕 의원실이 22일 개인정보보호위원회 자료를 분석한 결과, 2021년부터 2024년 7월까지 총 451건의 개인정보 유출 사고가 발생했고, 이를 통해 총 8천854만여 건의 개인정보가 외부로 유출됐다. 이 가운데 125건에 대해 약 877억 원의 과징금이, 405건에 대해 약 25억 원의 과태료가 부과됐다.

평균적으로 한 건의 사고당 과징금은 약 7억 원, 과태료는 약 617만 원 수준이지만, 이를 유출된 정보 건수로 환산하면 건당 과징금과 과태료 합계는 고작 1천19원에 그친다. 특히, 대규모 정보 유출 사고가 한 번에 수백만 건씩 발생하다 보니, 단일 정보를 기준으로 보면 사실상 처벌 효과가 미미한 셈이다.

연도별로 보면 단위 정보당 제재금액에도 큰 차이가 있다. 2021년엔 건당 평균 과징금이 41원에 불과했으며, 이후 매년 다소 증가해 2023년엔 1천63원, 2024년에는 8천302원까지 올랐다. 올해 7월까지의 수치도 약 2천743원으로 이전보다는 높아졌지만, 여전히 실제 피해 규모나 개인의 권리 침해 정도에 비해 제재가 약하다는 지적이 나오고 있다.

현행 개인정보보호법은 기업의 전체 매출액 중 위반 행위와 관련된 매출을 기준으로 최대 3% 이내에서 과징금을 부과하도록 규정하고 있다. 또, 매출이 불분명한 경우에는 최고 20억 원까지 과징금을 부과할 수 있지만, 이 역시 국제 기준에 비해 낮은 수준이다. 예컨대 유럽연합(EU)의 일반개인정보보호법(GDPR)은 주요 위반사항에 대해 최대 전 세계 매출액의 4% 혹은 2천만 유로 중 높은 금액을 부과할 수 있다. 실제로 글로벌 IT기업 아마존은 2021년 GDPR 위반으로 7억4천600만 유로(약 1조2천억 원대)의 과징금을 부과받기도 했다.

최근에는 SK텔레콤, KT 등 주요 통신사에서 유심(USIM) 정보나 고객정보 유출 사례가 잇따라 발생하면서 사회적 논란이 커지고 있다. 민병덕 의원은 “이처럼 실효성 부족한 제재가 정보보호의 구멍이 되고 있다”며 “GDPR에 준하는 과징금 부과는 물론, 집단소송제와 징벌적 손해배상제 도입 등 강력한 법제도 정비가 시급하다”고 강조했다.

이 같은 흐름은 향후 정보보호 체계 전반의 강화 요구로 이어질 가능성이 높다. 특히 디지털 전환 속도가 빨라지며 개인정보의 가치가 점점 커지는 만큼, 정부와 국회는 예방 중심의 권리 보호와 실질적인 제재 수단 확보 사이의 균형을 가다듬어야 할 시점이다.