[이코리아] 최근 사이버 공격으로 개인정보가 유출되는 사례가 세계적으로 증가하고 있다. 이에 각국은 개인정보 보호법을 강화하고 과징금을 올리는 방식으로 대응하고 있다.
이런 흐름의 시초가 된 법안은 유럽의 GDPR이다. 유럽은 가장 높은 수준의 개인정보 보호 정책을 갖추고 있으며, 이를 위반했을 때 기업에 부과되는 과징금도 매우 강력하다. 유럽에서 2018년부터 시행 중인 개인정보 보호법(GDPR, General Data Protection Regulation)은 기업이 개인정보 보호를 위반할 경우 최대 2천만 유로(약 275억 원) 와 연간 매출의 4% 중 더 금액이 높은 쪽을 과징금으로 내도록 규정하고 있다.
2018년에 페이스북 개인정보 유출 사건을 일으킨 메타는 아일랜드 데이터 보호 위원회로부터 과징금 1700만 유로 (228억 원)을 부과받았으며, 지난해에는 아마존이 이용자들의 고유 정보를 무단 수집해 룩셈부르크 개인정보 감독기구로부터 7억 4600만 유로 (1조 200억 원)을 부과받았다. 그 밖에 왓츠앱, 구글 등 빅테크가 연달아 개인정보 보호 위반으로 과징금을 부과받게 되어 GDPR은 ‘빅테크 저승사자’로 알려지게 되었다.
일각에서는 전 세계 개인정보 보호 법제에 영향을 끼친 GDPR이 기업의 매출과 이익에 부정적인 영향을 끼쳤다며 우려하지만, 보안 관계자와 연구자들은 GDPR이 시행된 이후 기업의 사이버 보안 태세가 강화되었다며 긍정적으로 평가하고 있다.
최근 여러 차례 개인정보 유출 사태를 겪은 호주 역시 개인정보 유출 기업에 강력한 과징금을 부과하기 시작했다. 지난달 28일 호주에서는 개인정보 유출 기업에 막대한 과징금을 부과하는 개인정보 보호법 개정안(Privacy Legislation Amendment Bill)이 통과되었다. 개정안에 따르면 호주에서 기업이 개인정보 보호 의무를 위반할 시 5천만 달러, 정보 유출을 통해 얻게 된 이익의 3배, 혹은 위반 기간 매출액의 30% 셋 중 가장 큰 금액을 과징금으로 부과받게 된다.
5천만 호주 달러는 한국 돈으로 약 430억 원에 달하는 금액이다. 법안 개정 이전에는 개인정보 유출에 따른 과징금의 상한선이 220만 달러 (약 20억 원)에 불과해 처벌 수위가 너무 가볍다는 지적이 있었다.
마크 드레이퍼스(Mark Dreyfus) 호주 법무부 장관은 성명을 통해 “최근 몇 달간 발생한 중대한 개인정보 침해 사건은 기존의 법안이 구식이고 부적절하다는 것을 보여주었다.” “고객 데이터를 적절하게 관리하지 못하는 회사는 개인정보 침해에 대한 처벌을 크게 강화하는 이번 법안의 통과에 따라 훨씬 더 높은 수위의 처벌에 직면하게 될 것이다.”라고 말했다.
호주 정보 위원회(OAIC)는 29일 해당 법안의 통과를 환영하는 성명을 냈다. 에인절린 포크(Angelene Falk) 정보위원장은 성명을 통해 “이번 개정으로 인해 호주의 개인정보 보호법은 유럽의 개인정보 보호법(GDPR)의 수준에 더 가까워졌다.” “새로운 정보 공유 권한은 국내, 외의 규제기관과의 관계를 촉진해 규제 역할을 더 효율적, 효과적으로 수행하는 데 도움이 될 것이다.”라고 밝혔다.
호주가 이런 강력한 개인정보 보호 법안을 신속하게 통과시킨 배경은 최근 연달아 일어난 대규모의 개인정보 유출 사태다. 호주 정보 위원회에 따르면 2022년 1월부터 6월까지 5천 명 이상의 피해자가 발생한 데이터 유출이 24차례 있었으며, 이 중 4건은 10만 명 이상의 피해자가 발생했다. 24건 중 한 건을 제외하면 모두 해킹 등 사이버 보안 사고로 인해 발생했다.
지난 9월에는 호주에서 두 번째로 큰 이동 통신사 ‘옵터스’에서 대량의 개인정보가 유출되는 사태가 벌어졌다. 이 사태로 1천 100만 명의 개인정보가 유출돼 호주 국민의 40%가 직간접적인 영향을 받았다. 또 지난 10월 13일에는 호주 최대의 의료보험 회사 ‘메디뱅크’가 해킹당해 970만 명의 개인정보가 유출되었다. 연달아 발생한 개인정보 유출 사태는 호주 정부가 신속하게 법안을 개정하는 계기가 되었다.
미국은 개인정보 보호에 관한 일반법이 연방 법률로 존재하지 않아 국가적인 개인정보 보호법이 없는 세계에서 몇 안되는 선진국 중 하나이다. 미국에는 공공, 금융, 통신, 교육 등 분야별, 주별로 개인정보 보호에 대한 법률이 따로 존재한다.
하지만 미국에서도 최근 개인정보 유출 사태가 잇따라 발생하자 통합된 개인정보보호법이 필요하다는 목소리가 높아지고 있다. 미국 신분도용범죄정보센터(ITRC)가 올해 1월에 발표한 자료에 따르면 2021년 한 해 미국에서는 1,862건의 데이터 침해가 발생해 2020년에 비해 68%이상 증가했다. 그리고 미국에서 발생한 랜섬웨어 공격으로 인한 데이터 유출은 지난 2년 동안 매년 두 배 씩 증가하고 있다.
지난 6월 미국 하원은 민간 부문의 개인정보를 포괄적으로 규율하는 연방개인정보보호법안(ADPPA, American Data Privacy and Protection Act)을 발의했다. 해당 법안은 기업이 수집하는 정보의 종류, 목적, 보관 방법을 공개하고 소비자에게 대상 정보에 대한 접근과 삭제의 권리를 부여하는 등의 내용이 담겨있다. 미국의 ADPPA에는 유럽의 GDPR과 같은 법적 손해배상 금액이 규정되어 있지 않지만, 대신 위반 기업은 연방 거래 위원회법에 따라 법안 미준수로 처벌을 받게 된다.
한국 역시 개인정보 유출에 대한 처벌을 강화하는 흐름에 동참하고 있다. 지난달 22일 개인정보 유출 기업에 부과하는 과징금의 상한액을 높인 개인정보 보호법의 2차 개정안이 국회 법안소위를 통과했다. 지난해 9월 개인정보보호위원회가 제출한 법안인데 법안소위를 통과하는데 1년 넘게 걸린 셈이다.
개인정보 보호법 2차 개정안은 위반행위에 대한 과징금의 상한액을 ‘전체 매출액’의 3% 이하에 해당하는 금액으로 산정하는 내용이 담겨있다. 기존에는 ‘위반행위와 관련된 매출액’의 3%로 규정되어 있었다. 다만 산업계가 과징금에 대한 기업 부담이 크다는 의견을 제시했고, 개인정보보호위원회는 이를 받아들여 전체 매출액의 3%는 유지하되 위반행위와 관련 없는 매출액을 제외하도록 규정하기로 했다.