개인정보를 유출한 사업자에 대한 방통위 제재가 부실하다는 지적이 나왔다.
명백한 법규 위반에도 제재 과정에서 이를 봐주거나, 제재를 받은 사업자들이 정작 피해자들이 제기한 소송에서는 책임감을 보이지 않고 있다는 비판이다.
30일 열린 방통위 회의에서는 개인정보 유출 사업자에 대한 시정 조치 내용을 두고 방통위 상임위원들의 비판이 쏟아졌다.
방통위는 이날 개인정보를 유출 또는 노출한 리치인베스트, 제이피컴퍼티, 지세븐인터내셔날, 카카우드, 태진인터내셔날, 하트잇, 한빛소프트, 휠라코리아 등 8개사에 과태료를 부과했다.
이 중 리치인베스트, 제이피컴퍼티, 카카우드, 하트잇, 한빛소프트, 휠라코리아의 경우 해킹으로 인한 개인정보 유출 사고가 발생했다. 지세븐인터내셔날과 태진인터내셔날은 각각 기술적·관리적 보호조치 미비, 홈페이지 트래픽 증가로 인한 오류 발생으로 이용자 개인정보가 노출됐다.
방통위 상임위원들은 제이피컴퍼티와 카카우드가 제출한 의견을 방통위가 수용한 것에 대해 비판했다.
양사는 개인정보 유출 사실을 인지한 뒤 신고 절차를 알지 못해 경찰청에 즉시 신고했지만, 한국인터넷진흥원(KISA)에는 뒤늦게 개인정보 유출 사실을 신고했다. 법규에 따르면 개인정보 유출 사고 발생 시 방통위와 KISA에 24시간 내로 이를 신고해야 한다.
김석진 방통위 상임위원은 "개인정보보호법 적용을 엄격히 해달라"며 "KISA에 개인정보 유출 사실을 신고해야 한다는 조항이 분명히 존재하는데 경찰청에만 신고한 점을 수용했다는데, 법 위반은 맞지 않나. 향후 개인정보 유출 사실을 경찰청에만 신고한 사업자들을 전부 봐줄 생각인가"라고 지적했다.
이에 김재영 방통위 이용자정책국장은 "KISA, 방통위에 개인정보 유출 신고를 의무화한 이유는 기업들이 개인정보 유출 사실을 은폐하지 않고 이용자에 알리고자 하는 취지"라며 "이를 감안할 때 경찰청에 자진 신고했다는 점에서 유출 사실을 은폐하려는 의도가 없었고, 이용자 보호를 위한 조치도 취해졌다고 판단해 이를 수용한 것"이라고 설명했다.
그러나 김석진 의원은 개인정보 유출 사고 발생 시 경찰청과 KISA·방통위의 소관 업무가 다르다며 반박했다.
김의원은 "경찰청은 범죄 수사 목적으로 개인정보 유출 사고에 대처하고, 방통위와 KISA의 경우 제3의 피해를 막기 위해 신고하라는 것"이라며 "이를 봐주면 모든 사업자들이 경찰청에 신고하는 식으로 넘기게 될 것"이라고 우려했다.
표철수 방통위 상임위원도 "동감한다"며 "사업자 관점에서 보고가 들어오는데, 실제 피해자의 피해 보전은 어떻게 되고 있는지 봐야 한다"고 언급했다.
표철수 의원은 "이용자들은 개인정보가 유출되면 개인정보분쟁조정위원회를 거치거나 소송을 제기하는 등 불필요한 여러 노력을 해야 하고, 이에 대한 충분한 보상이 보장되지도 않는다"며 "개인정보에 대해서는 매우 엄격하게, 필요하면 처분 규정을 강화할 필요가 있다"고 역설했다.
고삼석 방통위 상임위원은 대규모 개인정보 유출 사건이 이따금 발생하지만 이용자들이 제기한 피해보상 소송에서 모두 패소한 점을 지적했다.
고삼석 위원은 "KT나 싸이월드 등 1천만여건이 넘는 개인정보 유출에 대한 민사소송 결과 다 이용자가 패소했다"며 "방통위가 제재를 내리는 이유는 이를 통해 이용자 피해를 최소화하고 회복시켜줄 수 있어야 하는데 그러기엔 법원이 사업자에 아주 관대한 판결을 내릴 뿐더러 재판도 몇 년씩 걸리는 등 진행 속도도 너무 늦다"고 언급했다.
이어 "사업자들은 방통위 제재 시 사전규제에 대해 매우 부담스럽게 여기고 이를 완화해달라고 하지만, 정작 재판에서는 이를 헛점으로 삼아 빠져나가는 모습을 보인다"고 덧붙였다.
김재영 국장은 이에 대해 "적절한 지적이지만, 정보통신망법이 타국에 비해 엄격한 편이다. 일례로 GDPR의 경우 개인정보 유출 시 신고 기간을 72시간으로 규정했지만 국내는 24시간으로 규정한다"며 "관련 소송에서 기업들이 펴는 주장에 대해 확인하고 시행령이나 고시를 조속히 개선하겠다"고 답했다.
허욱 방통위 부위원장은 "개인정보 유출 관련 조사 방식의 개선도 검토해야 한다"며 "다양한 방식으로 개인정보 유출이 수시로 발생하는데, 경찰청이 신고받은 내용을 KISA에 알려주기만 했어도 이렇게 심의하는 일은 없었을 것 같다"고 제안했다.
개인정보 유출 제재에 있어 사업자 규모에 따라 제재 수준을 달리 해야 한다는 지적도 나왔다.
관련기사
- 韓의료-ICT 업계 "개인정보 규제 개선·표준화" 한목소리2018.05.30
- 위즈디엔에스, 충북 증평군에 개인정보접속기록관리 공급2018.05.30
- [단독] 공공 SW사업 기능점수 단가, 올 상반기 인상 확정2024.04.19
- [이기자의 게임픽] 日 겨냥 韓 게임, 흥행에 주목2024.04.20
김석진 방통위 상임위원은 "개인정보보호법을 위반한 사업자에 대한 처벌은 하나 하나 일벌백계해야 한다고 본다"며 "휠라코리아의 경우 직원이 300명이 넘고 연간 매출이 4천400억원에 이르는 큰 회사인데, 개인정보 위변조 방지나 암호화 등 가장 기초적인 부분도 미흡하게 대처했다"고 말했다.
이어 "이 정도 규모의 기업에 내리는 과징금이 1천500만원에 그치는 것은 옳지 않다"며 "기업 규모에 따라 처벌을 가중하는 조항을 만드는 것을 고려해봐야 한다"고 덧붙였다.
