[비즈니스포스트] 지난 10일 개정 개인정보보호법이 공포됐다. 오는 9월11일부터 시행된다.

개인정보보호위원회 측은 개정 법과 관련해 "개인정보 보호 책임·관리 체계 강화로 개인정보 유출사고 예방 효능이 기대된다"고 밝혔다. 징벌적 과징금, 개인정보 유출 가능성 통지 제도 도입, 개인정보 보호 책임자 역할 강화, 개인정보 보호 관리 체계(ISMS-P) 인증제도 개선을 통한 개인정보 보호 책임 강화 등의 내용이 담겼다고 설명했다.

개인정보보호위는 이어 "새 법이 차질없이 시행될 수 있도록 위임 규정 마련 등 후속 시행령 개정을 신속히 추진하는 한편, 제도 개선 사항이 현장에서 안정적으로 운영될 수 있도록 산업계와 공공기관 등과 소통을 강화해 나갈 계획"이라고 했다.

송경희 개인정보보호위원장은 따로 페이스북에 글을 올려 새 개인정보보호법 공포 사실을 알리며 "굵직한 제도들이 담겼다. 이제 이러한 제도들이 현장에서 실질적으로 작동할 수 있도록 준비하는 것이 중요하다"고 했다.

송 위원장은 이어 "기관의 책임성 강화와 예방 중심의 관리 체계 확립이라는 이번 법 개정 취지가 현장에서 제대로 구현될 수 있도록, 세밀하고 신속하게 하위 법령을 마련하고, 세부 기준을 구체화하겠다"며 "꼼꼼히 준비하겠다"고 했다.

기시감이 있다. 그래서 불안하다.

개정 개인정보보호법을 보면, 징벌적 과징금 제도가 새로 도입됐다.

반복적이거나 중대한 위반행위에 대해서는 전체 매출액의 최대 10%까지 징벌적 수준의 과징금을 부과할 수 있도록 했다. 전체 매출액의 3% 이하로 돼 있는 기존 과징금 제도로는 개인정보 침해 사고를 실효적으로 막는데 한계가 있다는 판단에 따라 도입됐다.

최근 3년 간 고의 또는 중대한 과실로 위반행위를 반복한 경우, 고의 또는 중대한 과실로 대규모(1천만 명 이상) 피해를 초래한 경우, 시정명령 불이행으로 인한 개인정보 유출 등 사고가 발생한 경우 등이 적용 대상이다.

대신 개인정보 보호 투자에 솔선수범한 경우에는 과징금을 감경(고의·중과실의 경우는 제외)하도록 했다.

개인정보 유출 가능성 통지 제도도 도입됐다.

현행 개인정보보호법은 '유출 등이 되었음을 알았을 때' 정보주체에 알리도록 규정하고 있어, 유출 등 가능성이 있음에도 통지가 지연되는 문제가 있었다. 유출 등 사고 발생 초기부터 정보주체가 이를 인지하고 신속하게 대응할 수 있도록, ‘유출 등의 가능성이 있음을 알게 되었을 때'에도 지체없이 통지하도록 했다.

더불어 '유출 등 사고' 범위를 넓혀, 개인정보의 분실·도난·유출뿐 아니라 위조·변조·훼손 때도 통지·신고하도록 했다. 개인정보 유출 통지 때는 손해배상 청구과 분쟁조정 신청 등 피해구제 방법도 함께 알려야 한다.

최고경영자(CEO)와 개인 정보보호 책임자(CPO)의 보호 책임도 강화됐다. 최고경영자는 개인정보 처리 및 보호에 대한 최종 관리·감독의 책임을 지도록 했다. 일정 규모 이상의 개인정보를 처리하는 기업은 개인정보 보호 책임자 지정·변경·해제 시 이사회 의결을 거치고 개인정보보호위에 신고토록 했다.

또 개인정보 보호 책임자가 개인정보 보호에 필요한 전문 인력 관리와 관련 예산 확보 업무를 맡도록 하고, 최고경영자와 이사회에 개인정보 보호 관련 사항을 보고토록 했다. 최고경영자가 "보고받은 바 없다"는 말로 실무자에 책임을 미루며 빠져나가고, 이사회가 이를 방관하는 것을 차단하려는 것이다.
 
공공·민간 분야에서 파급력이 큰 주요 기업·기관에 대해서는 개인정보 보호체계 인증(ISMS-P)을 의무화했다. 의무화 대상 범위는 시행령을 통해 구체화하기로 했다. 지금은 자율에 맡기며, 인증 받은 경우에는 개인정보 유출 과징금을 깎아주고 있다.

이동통신·금융·플랫폼 등 가입자·이용자 개인정보를 대량으로 수집해 다루고 있는 기업 쪽에서 보면, 부담스러울 수도 있는 내용들이다. 평소 같으면 개인정보보호법 개정 과정에서 해당 업계나 사업자들의 저항이 컸을텐데, 이번에는 '지은 죄'(지난해부터 보안 허술로 줄줄이 터진 해킹 및 개인정보 유출 사태)가 많아서인지 드러내놓고 반발하는 모습은 없었다.

송경희 위원장은 "최근 연이은 대규모 개인정보 유출 사고로 불안과 사회적 우려가 커지며 (법 개정이) 신속하게 추진됐다. 개인정보 침해에 대한 엄정한 제재로 강력한 억지력을 확보하는 한편 사전 예방적 투자를 촉진하고, 개인정보 관리 체계를 강화해 개인정보 유출 사고의 재발을 막기 위한 취지"라며 "다양한 현장의 목소리를 충분히 경청하고, 긴밀히 소통해 나가겠다"고 밝혔다.

개정 법을 통해 새로 도입되는 제도는 시행령, 시행규칙, 고시, 기준 개정을 통해 구체화 작업을 거쳐 시행된다.

시민들이 자신의 정보인권 보호를 위해 주목해야 하는 대목이다. 하위 법령 개정을 통해 구체적 시행 방안이 마련되는 과정에서 제도 도입 취지가 무색해지는 경우가 발생할 수도 있다.

관련 법 전문가들에 따르면 대형 법무법인 등 법 서비스 사업자들은 시행령과 시행규칙 등 하위 법령이 부실하게 만들어지게 하거나, 허점(틈)을 갖게 하는 방식으로 고객(클라이언트)에게 '위험'이 될 수 있는 제도의 도입 취지를 무력화시키는 것을 사업모델로 삼는 경우가 많다.

다양한 '법 기술'이 동원된다.

개정 법에 새로 도입된 징벌적 과징금 제도를 예로 보자. 영향을 받을 것으로 예상되는 대기업들이 이 제도 도입 취지를 무력화하는 목표를 꼽아 대형 법무법인에 '작업'을 의뢰했다고 가정해보자.

이동통신·금융·플랫폼 기업들이 보안을 소홀히 해 통신망 해킹 및 개인정보 유출 사태가 줄줄이 터지고 있는 상황에서는 법 개정에 정면 대응할 수 없다. 자칫 여론의 역풍을 맞을 수 있어서다.

전례로 볼 때, 이런 상황에서 주로 사용되는 방법은 핵심 내용을 하위 법령으로 넘기는(위임하는) 것이다. 시행령에서 애초 입법 취지를 무력화하거나, 안 되면 일부만 이루고, 남은 것은 또다시 시행규칙이나 고시 등으로 넘겨 조금씩 해결한다. 그렇게 해서도 못 이룬 게 있으면, 판단 잣대 문구를 두루뭉실하게 만든 뒤 실제 적용 때 대형 법무법인을 앞세워 법 해석 공방을 벌이는 방식으로 해결한다.

개인정보보호위는 2023년 개인정보보호법을 개정하며, 형사 처벌 조항을 없애거나 수위를 낮추고 과징금 등 경제 처벌을 강화했다. 산업 발전 지원과 업계 요청 등 '관련 업계와 소통 결과'를 명분으로 과징금을 전체 매출액의 3%까지 부과할 수 있도록 했다.

지난해 4월 SK텔레콤 가입자 개인정보 대량 유출 건이 터졌을 때, 법에 있는 '매출액의 3% 이하' 조항을 단순 적용해 과징금이 5천억원에 이를 수 있다는 전망이 나왔던 배경이다. 같은 맥락에서 쿠팡 개인정보 유출 건에 대한 과징금이 1조원을 넘을 수 있다는 전망이 나오기도 했다.

하지만 이 법 시행령을 보면, 과징금 실제 산정 단계에선 적용되는 기준은 '관련 매출'이다. 전체 매출액의 3%는 말 그대로 상한일 뿐, 실제 과징금 산정은 유출 사고와 관련된 매출로 하도록 했다.

또 여러 단계의 추가 절차와 판단을 거쳐 과징금을 감경할 수 있게 했다.

개인정보보호법 시행령 '과징금의 산정기준과 산정절차'(별표 1의5)의 '과징금의 산정단계에 따른 산정방식과 고려 사유'를 보면, 과징금은 기준 금액을 산정하는 첫 단계에서 이미 대폭 깎인다.

'기준 금액은 위반행위와 관련이 없는 매출액을 제외한 매출액에 위반 행위의 중대성에 따라 부과기준율을 곱해 산출한다'고 전제한 뒤, 매우 중대한 위반행위는 2.1% 이상에서 2.7% 미만, 중대한 위반행위는 1.5% 이상에서 2.1% 미만, 보통 위반행위는 0.9% 이상에서 1.5% 미만, 약한 위반행위는 0.03% 이상에서 0.9% 미만의 부과기준율을 적용하라고 규정하고 있다.

위반 행위의 중대성 판단에 따라 과징금 기준 금액이 크게 깎이는 셈이다. 절반 이하로 줄어들 수도 있다.
    
이후 수차례 감경과 가중 절차를 거친다.

먼저 위반 행위의 기간과 횟수, 위반 행위로 인해 취득한 이익의 규모, 개인정보처리자의 업무 형태와 규모 등을 고려해 고시 기준에 따라 기준금액의 100분의 90의 범위에서 감경하거나 가중할 수 있도록 했다. 1차 조정이다.

이어 개인정보보호위와의 협조 등 위반 행위를 시정하기 위한 조치 여부, 위반 행위로 인한 피해의 회복 및 피해 확산 방지 조치의 이행 여부, 개인정보 보호 체계 인증 및 자율적인 보호 활동 등 개인정보 보호를 위한 노력, 위반 행위의 주도 여부, 위반 행위 사실의 자진신고 여부에 따라, 고시 기준에 따라 1차 조정을 거친 금액의 100분의 50 범위에서 감경하거나 가중할 수 있도록 했다. 2차 조정이다.

이어 위반 행위자의 현실적 부담 능력, 경제위기 등으로 위반 행위자가 속한 시장·산업 여건이 현저하게 변동되거나, 지속적으로 악화된 상태인지 여부 등에 따라 2차 조정한 과징금의 100분의 90 범위에서 추가로 더 감경할 수 있도록 했다.

가입자 2300만 명의 개인정보를 유출한 것으로 드러나, 당시까지만 해도 '사상 최악' 해킹 사태 지적을 받아온 SK텔레콤에 대한 과징금 예상액이 왜 '최대 5천억 원 이상'에서 '3천억 원 안팎'으로 깎이고, 실제로는 1347억 원이 부과되는데 그쳤는지를 짐작해볼 수 있게 한다.

법 기술의 '요술'이다.

그나마 여기서 끝나지도 않는다.

SK텔레콤은 개인정보보호위 과징금에 불복해 행정소송을 제기했다. 법과 시행령 등의 조문과 규정 문구 해석 등을 통해 과징금을 추가로 더 깎을 여지가 있다고 보는 것이다. 대형 법무법인에 행정소송 대리를 맡겼다.
  개인정보보호법과 시행령과 고시를 읽어볼수록 '감탄사'를 연발하게 된다.

특히 추상적 용어들이 수두룩한 부분이 주목된다. 개인정보보호위 실무자와 위원들의 자의적 판단 범위가 꽤나 넓다.

과징금 산정 방식과 고려 사유 조항에만도 '매우 중대한', '중대한', '보통', '약한', '현실적인', '현저하게' 등 임의적 판단을 가능하게 해주는 용어들이 수두룩하다. 실무자와 위원들의 판단에 따라 LG유플러스·SK텔레콤·쿠팡에 대한 과징금 모두 적게는 수백억원에서 많게는 수천억원까지 왔다갔다 했거나 그럴 수 있는 셈이다.

2023년 LG유플러스에 대한 과징금 산정액이 1천억 원 가까이 예상되다 69억원에 그쳤고, 5천억 원까지 예상되던 SK텔레콤에 대한 과징금이 1347억원으로 줄어든 게 어떤 배경이었는지 짐작케 한다. 그동안 1조원대로 예상돼온 쿠팡에 대한 개인정보보호위 과징금 역시 이런 과정을 거쳐 쪼그라들 가능성이 크다.

개인정보 침해 기업에 대한 과징금 처분 결정을 위해 열리는 개인정보보호위원회 전원회의 속기록을 보면, 예상 과징금 금액이 큰 건일수록 대형 법무법인이 법률대리를 맡는 경우가 많다. 법률대리인은 개인정보 유출 조사와 조사국의 과징금 산정은 물론 과징금 처분 전원회의에도 참석, 의뢰인을 대신해 법리와 법 조항 해석 공방을 벌이고, 감경을 읍소한다.
 
지난해 유영상 SK텔레콤 사장과 고학수 개인정보보호위원장의 만남을 주선해 '부적절한 만남' 논란을 빚은 것도 한 대형 법무법인의 '작품'으로 알려졌다. 가입자들에게 큰 이익도 안 되는 보상책을 남발하고, 판에 박힌 재발 방지책을 내놓는 것도 과징금을 감경받기 위한 작업 성격이 짙다.

법무법인 측이 주도했다고 볼 수 있다.

법무법인들은 이를 통해 거액의 수임료와 성과 보수를 챙긴다.

법무법인과 업계 관계자들을 말을 종합하면, 이동통신 3사 통신망 해킹 및 개인정보 유출 건에서는 법무법인 세종과 광장이, 쿠팡 개인정보 유출 건에서는 법무법인 세종과 김앤장이 상당한 재미를 봤거나 보고 있는 것으로 알려졌다.

법무법인들이 관련 인력 보강에 앞다퉈 나서면서 해당 규제기관 출신들의 몸 값도 치솟고 있다.

개인정보보호위 전직 직원은 비즈니스포스트와 만나 "2023년 LG유플러스 개인정보 유출 과징금 처분 당시 조사국이 산정한 과징금은 60억 원 대에서 900억 원 대까지였는데, 일부 비상임 위원들의 발언을 거치며 결국 69억원 대로 결정됐다. 법무법인 업계 쪽에서 이는 엄청난 성공 사례로 꼽히고 있다"고 말했다.

법 기술자들은 개인정보보호법 시행령에 감경뿐 아니라 가중도 할 수 있게 돼 있다고 항변한다. 하지만 실제 가중 사례를 대지는 못한다.

개인정보보호위와 법무법인 관계자들의 말을 들어보면, 과징금은 감경은 돼도 가중되는 경우는 거의 없다. 해당 사업자들과 법률대리인은 물론 해당 기업의 편을 드는 비상임 위원들까지 감경 읍소 목소리는 많아도 가중 필요성 주장은 거의 없어서란다. 재량권을 발휘해 막 깎아줘도 일부 언론의 '솜방망이 처벌' 지적을 빼고는 뭐라 할 사람도 없다.

담당자 쪽에서도 굳이 인심 사납다는 소리를 자처할 이유가 없다. 자연스럽게 '인심을 쓰는' 경우가 많아진다. 법 조항의 추상적인 용어 뒤에 숨으면 법적으로 문제가 되지도 않는다.

그래서 걱정스럽다.

매출액의 10%까지로 돼 있는 징벌적 과징금 제도가, 2023년 형사 책임을 줄이는 대신 도입된 과징금 상한 강화 취지가 '법 기술자들의 농간'으로 무력해지며 개인정보 유출 예방 효과를 살리지 못한 것과 같은 길을 걸을 수도 있어서다.

개인정보보호법 시행령과 시행규칙 개정 과정에 눈을 부릅떠야 하는 이유다. 혹시 개인정보보호위가 전담반이나 TF팀 구성을 명분으로 법무법인 법 기술자들에게 시행령과 시행규칙 개정 작업을 맡기지 않는지도 지켜봐야 한다.

법 기술은 더욱 교묘해졌다. 악마는 디테일에 담길 가능성이 크다. 김재섭 선임기자