이종현 칼럼

[취재수첩] 데이터3법, 정말로 개인정보보호 약화되나?

이종현
[디지털데일리 이종현기자] 지난 1월9일 데이터3법(개인정보보호법·신용정보법·정보통신망법) 개정안이 어렵사리 통과됐다. 개정안은 공표된 2월4일으로부터 6개월 이후인 8월5일부터 시행된다.

데이터3법 통과 이후 각계의 반응은 제각각이다. 산업계 전반은 데이터 활용으로 인한 신기술 연구개발 활성화에 기대를 두는 눈치다. 이와 달리 시민단체에서는 개인정보보호 기능이 약화되는 것 아니냐는 우려의 목소리가 커지고 있다. 실제로 데이터3법 개정안은 ‘개인정보보호’의 기능을 약화시킬까?

개인정보보호법에는 ‘개인정보처리자의 고의 또는 중대한 과실로 인해 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다’는 손해배상책임 의무 조항이 포함돼 있다. 정보주체는 자신의 정보가 유·노출될 경우 배상받을 수 있도록 한 장치다.

또 악의적인 유·노출이 아닌 해킹 등으로 인한 사례에도 형사처벌’을 받도록 하는 조항도 있다. ‘안정성 확보에 필요한 조치를 하지 않아 개인정보를 분실·도난·유출·변조 또는 훼손당한 자는 2년 이하의 징역 또는 1000만원 이하의 벌금에 처한다’고 명시돼 있다.

개정안에서 새로 도입된 ‘가명정보’에 대한 처벌은 특히 엄격하다. 가명정보를 재식별할 경우 과징금만 부과하는 유럽연합(EU)의 일반 개인정보보호법(GDPR)과 달리 국내법에는 5년 이하의 징역 또는 5000만원 이하의 벌금에 처하도록 돼 있다. 판관의 해석이 필요하겠으나 법의 문맥만으로는 실수로 가명정보를 만드는 비식별 조치 과정 중 실수가 발생하면 5년 이하의 형사처벌 대상이 될 수 있는 셈이다.

특히 과태료나 과징금에 대한 조항도 함께 있다. 하나의 사고에 대해 형사처벌, 과태료, 과징금을 중첩해서 받을 수 있는 셈이다.

이러한 데이터 활용에 따른 처벌은 해외사례와 비교해도 무척 강한 편이다. EU GDPR에서는 형사처벌 조항이 없다. 형사처벌의 경우 EU 각 회원국이 정하도록 하고 있다.

세계 최초로 정보보호법을 제정한 독일은 개인정보처리자가 중대한, 악의적인 목적의 유·노출 등 사고를 할 경우 2년 이하의 자유형 또는 벌금형에 처하도록 하고 있다. 일률적으로 형사처벌 조항을 넣은 국내법에 비해 규제 수준이 한참 낮은 수준이다.

이처럼 개정된 개인정보보호법만 두고 보면 개인정보보호가 약화될 것이라는 우려는 기우에 그칠 가능성이 높다. 오히려 정보보호를 위한 데이터 활용 규제가 지나치다는 의견이 설득력 있는 수준이다.

그렇다면 데이터3법 이후 개인정보보호에 대한 우려는 잘못된 것일까 안타깝게도 이토록 강력한 개인정보보호법이 있음에도 개인정보보호 약화의 가능성은 높다. 대표적인 이유로는 활용이 늘어남으로써 해커의 ‘공격면’이 늘어나기 때문이다.

사이버공격과 사이버보안에서 공격자는 방어자에 비해 유리한 위치를 선점한다. 방어자의 경우 공격이 오기 전까지는 공격자가 어떤 형태로 공격을 할지 알 수 없다. 방어자가 공격자의 수백배 많은 시간과 노력을 투입하더라도 뚫릴 수 있는 게 사이버보안이다. 때문에 데이터를 활용하는 대기업들은 정보보호에 막대한 예산을 투입한다.

하지만 데이터 유통이 활성화되면서 비교적 보안에 투자할 여력이 적은 기업들도 데이터를 활용하게 된다면 개인정보 유·노출도 늘 수 있다. 이를 예측해볼 수 있는 예가 있다. 은행 등 전통적인 금융기관와 암호화폐거래소 등의 핀테크 기업 사례다. 전통적인 금융기관의 경우 대단히 높은 수준의 보안체계를 구축해 숱한 해커의 공격에도 대응하고 있다. 하지만 국내 암호화폐거래소의 경우 지난해 유출된 피해금액만 800억원 규모다.

데이터 활용과 보호는 상반된 개념이다. 데이터 활용을 늘릴수록 보호는 약해질 수밖에 없다. 때문에 개인정보보호법의 처벌을 엄격하게 하더라도 유출의 우려가 없다고 할 수는 없다.

그러나 개인정보 유·노출의 위협이 있다고 해서 데이터 활용을 막을 수는 없다. 데이터 활용은 시대적 흐름이다. 과거 시가총액 기준 글로벌 5대 기업은 전통 기업인 석유, 제조, 하드웨어 기업에서 데이터를 활용하는 정보통신기술(ICT) 기업으로 바뀌었다. 데이터는 기존의 산업 패러다임을 완전히 뒤엎고 있는 ‘메가 트렌드’다. 안 그래도 엄격했던 개인정보보호법을 더 강하게 만든 것은, 이런 활용에 대한 부작용을 줄이고자 함일 것이다.

하루가 다르게 변화하는 사회에 뒤처지지 않기 위해 데이터를 활용하면서, 또 이를 보호하는 것이 당면한 숙제다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널