쿠팡의 대규모 개인정보 유출 사태로 국민이 정신적 피해가 막심한데 소관 부처인 개인정보보호위원회의 존재감은 흐릿하기만 하다. 개인정보보호법 위반 시 매출의 3%를 과징금으로 부과할 수 있는 강력한 법이 있어도, 유출 사태를 미연에 방지하고 피해를 최소화하는 역할에서 부족함이 드러났기 때문이다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

개인정보위는 지난 3일 긴급 전체회의를 열어 쿠팡에 개인정보 '노출' 통지를 '유출'로 수정해 재통지하고, 팝업창 등으로 일정 기간 유출 내용을 공지하며, 추가 피해 예방 요령을 적극 안내할 것을 촉구했다. 또한 자체 모니터링을 강화하고 전담 대응팀을 확대 운영할 것을 명령했다. 이에 쿠팡은 5일 오전 현재 기준으로 홈페이지 고객센터 게시글에 '유출' 표현을 넣었을 뿐 "(피해 방지를 위해) 고객이 추가로 조치할 사항은 없다"며 안일한 태도로 일관하고 있다. 개인정보위 관계자는 아시아경제와의 통화에서 "쿠팡에 7일 이내에 조치결과를 제출하도록 했다"며 "기한 내 이행하지 않으면 법에 따라 사전 통지를 거쳐 시정명령, 과태료 대상이 될 수 있다"고 말했다.

개인정보위는 개인정보 유출 시 기업 전체 매출액의 최대 3%까지 과징금을 매길 수 있는 개인정보보호법을 가지고 있다. 이에 따라 쿠팡의 과징금은 1조원 이상이 될 것으로 예상되지만, 업계에선 쿠팡이 과징금 부과에 불복해 행정소송을 제기할 것으로 보고 있다. 쿠팡은 법정 싸움에서 불리한 위치에 놓이지 않기 위해 사건을 축소하고 보호 관리 책임에 소홀하지 않았다는 '모르쇠' 자세를 취할 가능성이 크다.

개인정보 보호 체계를 갖추고 있다는 것을 입증해주는 국내 공신력 있는 인증 제도인 ISMS-P도 실효성이 부족하다. 3년 동안 유효한 ISMS-P 인증은 1년마다 심사를 받는데 여기에서 허점이 드러났다. 해당 기업을 주기적으로 모니터링하는 절차는 없고, 심사 기준과 방식도 형식적으로만 구성된 것으로 나타났다. 일례로 올해 개인정보위의 ISMS-P 사업 예산은 2억원인데 내년에도 2억원으로 동결됐다. 쿠팡 사태가 예산 심사 과정에서 벌어진 일이긴 했지만 증액이 이뤄지지 못한 건 아쉬운 대목이다. 개인정보위가 기존 예산에 11억원을 추가로 요구했지만 국회 예결위에서 받아들여지지 않았다고 한다. 강력한 법과 인증 제도를 갖고 있어도 허울뿐이고 현장에서 실효성을 발휘하지 못하면 무용지물이 되고 만다.

대규모 개인정보 유출은 심각한 혼란을 일으키는 만큼 최전방에 서서 국민의 데이터 곳간을 지키는 개인정보위는 대형 사회 재난을 막는 부처만큼 그 역할과 책임이 중요하다는 사실을 잊어선 안된다.

김보경 기자 bkly477@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>