개인정보를 유출하면 벌금이 최소 260억원 이라고요?

[황경태변호사의 법률칼럼]

개인정보를 유출하면 벌금이 

최소 260억원 이라고요?

 최근 조선일보에서 개인정보보호법 위반으로 국내의 빅데이터 사업이 올스톱 되었다는 기사를 보도하였습니다.(2018.6.2.) 내용을 보니 정부에서 2016년 공공정보를 상업적으로 활용하는 내용의 가이드라인을 발표하였고 이를 토대로 대기업 및 정부기관, 그리고 데이터 전문기업들이 빅데이터 사업을 시작하였는데, 참여연대 등 시민단체들이 이들을 개인정보보호법 위반으로 고발하여 사업을 접게 되었다는 것입니다. 그러면서 이 기사는 규제 때문에 기업들이 빅데이터 산업에 뛰어들지 못하게 되고 이는 곧 4차산업혁명 시대의 주도권을 외국에 넘겨주게 되는 것이라 결론을 내리고 있었습니다. 그런데 정말 이 기사 내용처럼 규제 때문에 우리가 빅데이터 산업을 육성하지 못하는 불이익을 당하고 있을까요? 마침 이 기사가 나오기 얼마 전인 2018년 5월 25일, 유럽에서는 개인정보보호에 관한 일반법(General Data Protection Regulation)이 시행되었습니다. 그런데 이 법은 기업이 정보주체인 개인의 정보에 대한 권리를 침해할 경우에 2천만 유로(약 260억) 혹은 그 기업의 전 세계 매출액의 4% 중 높은 쪽의 과태료를 부과하고 있습니다. 우리가 생각할 때에 정말 억! 소리가 나는 금액이고 기업관점에서는 말도 안 되는 규제라고 할 법합니다. 그러면 무슨 생각으로 유럽 사람들은 이러한 법을 만들었을까요?

한국과 비교되는 유럽 GDPR 제도 

비교를 위해서 한국에서의 실제 사례를 한 번 들어보겠습니다. 최근 산본의 한 빌딩 관리인이 입주자들의 개인정보를 유출한 사건이 있었습니다. 건물 내에 설치된 CCTV동영상을 무단으로 반출한 사건이었는데, 1년여에 걸친 수사 끝에 검찰은 개인정보보호법 위반으로 벌금 200만원에 기소했고, 1심법원은 선고유예 판결을 했습니다. 선고유예란 유죄이긴 하나 정상을 참작하여, 형의 선고만을 유예해준다는 의미입니다.  

만일 같은 사건이 유럽에서 일어났다면 어떻게 되었을까요? 이 경우 고의적으로 유출한 사건으로 유럽개인정보보호법(GDPR)에 따르면 최하 260억 원 이상의 과태료가 부과되었을 것입니다. 물론 이에 대한 민사상 손해배상은 별도이지요. 아마 우리 현실에서는 이 정도의 과태료는 절대 납득될 수 없을 것 같습니다. 그렇다면 유럽연합이 제정한 GDPR은 빅데이터 산업의 육성을 가로막는 철의 장벽일까요? 그래서 절대 빅데이터 산업을 하지 못하게 하고 있을까요? 그런데 또 그렇지가 않습니다. 

유럽개인정보보호법은 일단 기업이 수집한 개인정보라도 개인인지 여부를 알아볼 수 없게 비식별화 처리를 했다면 이러한 정보는 개인정보보호대상에서 제외시키고 있습니다. 즉 기업이 마음대로 활용을 할 수 있다는 것이죠. 그리고 GDPR을 제정해온 작업반의 의견을 보면, 기업이 보유한 개인정보를 상업용 통계목적으로 데이터 가공처리를 허용하고 있습니다. 쉽게 말해서 개인정보라도 가공, 처리해서 식별불가능하게 하였다면 개인정보주체들의 동의 없이도 상업용으로 이용할 수 있도록 허용한 것입니다. 예를 들어 온라인 쇼핑몰 업체가 자신의 고객정보를 활용하여 ‘특정 지역의 40대 남성의 구매성향’ 같은 정보를 통계화 할 수 있고 이를 상업용으로 이용가능하다는 것이죠. 대신 이 과정에서 정보주체들의 개인정보에 대한 권리를 침해하지 않을 것과 데이터 보호 수준을 현재 및 장래에 예측 가능한 최선의 수준으로 설정할 것을 요구하고 있습니다.  

한 마디로 요약하면 GDPR은 한손에는 칼을, 한 손에는 열쇠를 들고 있다고 보면 될 것 같습니다. 즉 ‘허용은 한다. 단 룰을 지켜라, 지키지 않으면 기업 문닫을 각오 해야한다’는 것이 GDPR에 깔려있는 유럽인들의 법에 대한 태도라 볼 수 있습니다. 

우리나라의 문제 

이러한 유럽개인정보보호법과 우리의 상황을 비교하면 어떨까요? 일단 GDPR과 비교해서 비식별화 처리를 하여 상업용으로 활용하는 분야까지도 막아놓고 있다는 것이 문제이긴 합니다. 물론 개인의 동의를 얻으면 가능하나 이는 현실적으로 불가능에 가깝습니다. 이 점은 조선일보 기사가 지적하는 것과 같습니다. 그러면 문제제기한 시민단체들의 항의는 잘못된 것일까요?  

2012년 해커 2명이 KT 가입자 870만 명의 개인정보를 유출한 사건이 발생했습니다. 이 사건에서 1심법원은 KT가 고객정보보호의 노력을 충분히 하지 않았다며 개인당 10만원씩의 손해배상을 명하였습니다. 그런데 최근 2심법원은 이 결과를 뒤집어 KT의 과실이 없다고 판단했습니다. 특정 인터넷 주소(IP)로 개인정보가 하루 최대 수십만 건이 조회되는 비정상적인 접근이 있었음에도 이를 알아차리지 못한 것은 KT의 과실이 아니라고 판단한 것입니다. 자, 간단한 산수입니다. 870만 명에게 10만원씩 지급하면 얼마일까요? 8,700억 원입니다. 어마어마한 배상액입니다. 아마 2심법원으로서는 이 정도의 배상액을 명령하는 것이 쉽지 않았으리라 예상됩니다. 만일 유럽이었다면 어땠을까요? KT의 2017년 매출은 23조3,873억 원이니 GDPR상 주요 의무위반이라 판단되는 경우, KT의 전 세계 매출액의 4%를 계산하면 과태료가 무려 1조 가까운 돈이 됩니다. 유럽연합은 개인정보를 다루는 기업이 의무를 위반했을 경우에 이 정도의 책임을 지울 것을 작정하고 법을 만든 것입니다. 그런데 우리 정부는 어떤가요? 이를 정면으로 다룰 자신이 없어서인지 현행 개인정보보호법을 놔두고 규범력이 없는 가이드라인을 만들어 시민단체들에게 공격당할 빌미를 제공하였지요. 

만일 우리나라 기업들에게 개인정보를 활용할 기회를 부여하면서 동시에 유출했을 때에 책임을 지운다고 한다면 어느 정도 처벌을 받을까요? 액수를 떠나서 기업들이 정말 이를 어기는 것을 상상하기도 싫을 정도로 규제를 할까요? 저는 그렇지 않을 거라 생각합니다. 그러니 시민단체가 아니라 저부터도 우리나라 기업들에게 제 개인정보를 활용할 기회를 주는 것에 대해서 부정적인 판단을 하게 됩니다. 잘못을 해도 솜방망이 처벌로 끝나니 도대체가 기업들을 신뢰하고 개인정보를 맡길 수가 없습니다. 그렇다면 우리나라 빅데이터 산업의 문제는 규제 때문이 아니라 바로 물에 물탄 듯 술에 술탄 듯한 법의식이 문제란 점을 알 수 있습니다. 

법의식의 문제 

GDPR을 보면 개인정보에 대한 유럽인들의 가치평가를 확인할 수 있습니다. 그만큼 개인의 권리를 소중히 여기는 것이죠. 이 글에서는 우리가 개인의 권리에 대해서 그렇게 생각하는 것이 옳은가를 생각하기보다 그렇게 된 연원을 살펴보고자 합니다. 

그 시작은 바로 16세기 종교개혁이었습니다. 독일의 종교개혁가 루터가 성경안에서 발견한 진리는 ‘이신칭의’ 즉 믿음으로 의롭게 된다는 것이었습니다. 이 진리를 가지고 루터는 당시 교황 중심의 로마교 체제 및 신학과 투쟁하였고, 이러한 종교개혁의 불길은 뒤를 이은 칼빈을 통해 유럽 전역으로 퍼져나갔습니다. 루터의 개인적인 경험으로 새롭게 발견된 이 진리는 신 앞에서 믿음을 가지는 인간 개인의 존재됨을 생각하게 만들었고, 종교의 자유를 위한 투쟁의 기초가 되었으며, 곧 종교의 자유로부터 파생되는 여러 개인의 권리의 발전을 이루어내었습니다. 이로 보면 근대 입헌주의 헌법의 기초가 된 인간의 존엄성은 그저 하나의 철학이나 사상이라기보다 절대적 신 앞에 서있는 신의 형상을 닮은 인간이란 종교적 기원을 갖는다 볼 수 있습니다. 지금이야 유럽이 탈종교화 경향을 보이지만 적어도 시작은 그러하였다는 것이죠. 

그러므로 개인의 권리를 지키는 것, 그것이 규정된 법을 준수하는 것은 일종의 종교적 차원의 성격을 가지게 되었고 무소불위의 권력을 가진 절대군주라도 준수해야 하는 절대적인 것이 되었습니다. 내 자신보다 누군가가 위에 있다는 믿음, 그리고 그에 따라서 내가 원하는 대로 사는 게 아니라 무언가 절대적인 존재에 따라 산다는 의식, 이것은 곧 유럽인들의 역사적 DNA에 새겨져 있는 법의식과도 연관된 것이라 생각합니다. 

반면에 우리에게 있어 ‘법’이란 무엇일까요? 최근 어떤 SNS 글에서 50대가 되어 깨닫는 사실이 한국에서 세금을 제대로 내고 사는 게 바보라는 내용을 본 적이 있습니다. 이 내용만큼 우리나라 사람들의 법에 대한 의식을 보여주는 것이 없다고 생각합니다. 한국 전쟁 이후에 폐허가 된 땅 위에서 살아남는 것이 중요할 수밖에 없었던 근대 역사도 있지만 그 전이라도 우리가 그렇게 신봉했던 유교는 어떤 절대적인 진리를 말하기보다 하나의 통치이념, 그것도 피라미드의 꼭대기에는 중국의 황제가 앉아 있어서 중국의 사신이 오면 왕이라도 고개를 숙여야 했던 것을 가르칠 뿐이었습니다. 불교 역시 속세를 떠난 개인적 삶을 말하거나 ‘내가 곧 부처다’라는 사상, 곧 나 자신을 극도로 긍정하게 만들었을 뿐이지 나와 우리를 넘어서는 존재와 그로 말미암는 법을 가르치지는 못했습니다. 

여기서 종교들 간의 우열을 말하고자 함이 아니라 종교가 법의식에 끼친 영향을 얘기하자면 그렇다는 것입니다. 그러므로 우리에게 있어 법이란 정권이 바뀌면 언제 바뀌어도 이상하지 않는 것, 어쩔 수 없을 때는 지키지만, 되도록 지키지 않는 게 좋은 것, 그리고 내 이익과 감정을 위해서는 과감히 버릴 수도 있는 것이라 정의한다면 과한 것일까요?  

4차산업혁명을 전망하며 

4차 산업혁명, 그리고 인공지능과 빅데이터를 이야기하지만 우리는 이러한 기술들, 그리고 개인정보를 활용한 산업의 파급효과에 대해서 잘 알지 못합니다. 플라스틱의 사용으로 인해 생활이 편리해졌지만 환경호르몬, 미세 플라스틱으로 인한 해양 오염의 부메랑을 예상하지 못하였듯이 말입니다. 그렇다면 기술의 발전에 조급해할 것이 아니라 인류 전체가 이를 굉장히 주의하면서 조심스럽게 가는 것이 지혜로운 태도일 것입니다. 유럽이 GDPR을 통해서 미국의 구글이나 페이스북에 제동을 걸었다고 볼 수도 있지만 아마 미국은 이를 개의치 않고 자신만의 길로 독주할 가능성이 크고 중국은 더 말할 나위가 없을 것이 4차산업혁명을 대하는 저의 개인적인 비관적 전망입니다. 그리고 이 상황에서 우리 스스로 이를 돌파할 역량이 턱없이 부족하다는 것이 우리가 좌절할 수밖에 없는 이유입니다. 그러면 어떻게 해야 하나요? 이러한 현실이 덧없다고 속세를 떠나 산으로 들어가는 것이 지금껏 동양종교의 태도였는데 이는 역사적 현실에서의 도피밖에 되지 않을 것입니다. 그렇다면 우리에게 남은 유일한 길은 선한 목적을 가지고 이러한 현실에 과감하게 그리고 신중하게 뛰어드는 것밖에는 없을 것입니다. 비록 과정에서 실수하고 실패한다고 하더라도 적어도 뒷짐 지고 산속에 들어앉아 가만히 있는 것보다는 백배 더 나을 것입니다. 그리고 좋게 생각하면 우리의 텅 빈 것이 서양의 성공과 실패, 그 한계를 생각하면서 동시에 동양의 한계를 극복해나갈 기회가 된다고도 볼 수 있지 않을까요?  

법무법인신지 파트너 변호사 황경태

kt.hwang32@gmail.com

이 글은 <행복한 동네문화 이야기 제105호>에 실려 있습니다.

 

< 행복한동네문화이야기 >는 

• '지역적 동네'뿐 아니라 '영역적 동네'로 확장하여 각각의 영역 속에 모여 사는 수많은 사람들의 다양한 스토리와 그 속에서 형성되는 새로운 문명, 문화현상들을 동정적이고 창조적 비평과 함께 독자들에게 소개하는 국내 유일한 동네신문입니다.

• 일체의 광고를 싣지 않으며, 이 신문을 읽는 분들의 구좌제와 후원을 통해 발행되는 여러분의 동네신문입니다.

• 정기구독을 신청하시면 매월 댁으로 발송해드립니다. 

    연락처 : 편집장 김미경 010-8781-6874

    1 구좌 : 2만원(1년동안 신문을 구독하실 수 있습니다.)

    예금주 : 김미경(동네신문)

    계   좌 : 국민은행 639001-01-509699