7일 서울 시내 쿠팡 배송차량 모습. 연합뉴스

<이미지를 클릭하시면 크게 보실 수 있습니다>

통신 대기업들에 이어 쿠팡까지 초대형 개인정보 유출 사태가 연이어 터졌다. 수백만, 수천만명의 개인정보가 유출되는 사고가 반복된다는 것은 우리나라 기업 전반에 안이한 보안의식이 자리 잡고 있음을 방증한다. 국민의 민감한 개인정보를 활용하는 기업들이 보안 투자를 비용 관점으로만 바라보고 최소한의 예산만 투입한 대가를 온 국민이 치르고 있는 형국이다.

문제는 이처럼 대규모 사고가 터져도 기업이 받는 제재는 턱없이 가볍다는 점이다. 여론의 질타도 잠시뿐이고, 부과되는 과징금은 매우 미미한 수준이다. 징벌적 손해배상제는 애초에 이런 문제를 해결하고자 도입됐지만, 피해자가 기업의 고의나 중대한 과실을 입증해야 하는 현재 제도로는 실질적인 피해 구제가 사실상 불가능하다. 설령 배상이 이뤄진다고 해도 배상액이 매우 적어 경각심을 주지 못한다. 실제로 2014년 신용카드 3개사, 2016년 인터파크 개인정보 유출 사고에서도 법원이 인정한 배상액은 1인당 10만원에 그쳤다. 기업들은 사고가 나도 ‘감당 가능한 수준’이라는 계산이 나오니, 근본적인 보안 대책 대신 최소한의 조처에 그치는 것이다. 이런 구조에서는 비슷한 유형의 사고가 반복될 수밖에 없다.

이재명 대통령이 지난주 “과징금 강화와 징벌적 손해배상제를 현실화해야 한다”고 언급한 것은 이런 현실을 바로잡겠다는 의지를 보여준다. 제재 장치의 실효성을 확보하기 위해 후속 입법과 기준 개정을 신속히 이어가길 바란다. 단순히 과징금 상한을 조금 올리는 수준으로는 부족하다. 기업의 고의나 중대한 과실을 피해자가 입증해야 하는 불합리한 조건을 개선하고, 배상액 상한을 대폭 높여야 한다. 기업이 보안 관리에 실패했을 때 감당해야 할 손해가 ‘사업을 위태롭게 할 정도’라는 위기의식을 경영진이 갖도록 해야 비로소 변화가 시작될 것이다.

개인정보 유출 사태는 개인정보 자기결정권과 사생활 보호라는 국민 기본권을 침해하고 안전을 위태롭게 하는 행위다. 또 현대 사회에서 대형 정보통신·디지털 플랫폼 기업은 사실상 사회 인프라를 제공하는 지위를 갖는다. 이들 기업의 보안 실패는 산업·금융뿐만 아니라 사회 전반의 혼란을 초래한다. 지금처럼 ‘솜방망이 처벌’로는 기업들의 태도 전환을 이끌어낼 수 없다. 국민의 신뢰를 저버린 기업에는 혹독한 대가를 치르게 해야 한다. 기업의 책임을 강화하고, 피해자 중심의 제도를 마련하는 것이야말로 신뢰받는 디지털 사회로 가는 첫걸음이다.