[비즈니스포스트] 개인정보보호위원회가 가입자·이용자 개인정보를 침해(유출·노출·악용 등)한 기업에 부과하는 과징금 상한을 '매출액의 10%'로 높이는 방안을 추진한다. 과징금 제재의 실효성을 높이기 위해서다.

'개인정보 침해 사고를 반복적으로 일으킨 기업'이란 단서를 달았다. 현행 개인정보보호법은 개인정보 침해 기업에 대해 과징금을 매출액의 3%까지만 부과할 수 있게 하고 있다.

송경희 개인정보보호위원장은 지난 12월12일 세종시 정부세종컨벤션센터에서 열린 개인정보보호위원회 업무보고에서 새 해 추진 핵심 과제를 설명하며 이렇게 밝혔다. 송 위원장은 "최근 3년 간 개인정보 유출 사고 건수가 20배 이상 증가했다. 국민 체감 안전 지수가 매우 낮다. 기존 제도와 방식으로는 기대에 부응할 수 없다. 개인정보 보호 정책의 중심을 사후 수습에서 사전 예방으로 전환하겠다"고 배경을 설명했다.

당시 개인정보보호위는 새 해 중점 추진 전략 5가지를 내놨다. 개인정보보호위는 첫 번째 핵심 과제로 실효성 있는 제재 강화를 꼽으며, 반복적인 개인정보 유출 사고를 낸 기업에 매길 수 있는 최대 과징금을 현행 매출액의 3%에서 10%로 높일 방침이라고 밝혔다.

송 위원장은 이후 기자들을 만날 때마다 "사고 수습보다 선제적 투자가 훨씬 큰 이익이라는 인식이 자리 잡아야 한다. 급변하는 AI 시대에 맞춰 가시적인 변화를 빠르게 만들어가겠다"고 강조하고 있다.

정부·여당은 현재 증권분야에 국한돼 있는 집단소송제 적용 대상을 개인정보 보호 쪽으로 확대하는 방안도 추진하고 있다. 경제 범죄 처벌 강화를 통한 재발 방지 노력 촉구 차원이라고 설명한다.

미국과 유럽 등에서 시행되는 징벌적 과징금과 손해배상 소송 제도에 견줄 정도는 못되지만, 파격적인 것만은 분명하다. 전례로 보면 관련 업계와 재계 쪽에서 반발이 나올 법 하다.

그런데 조용하다. 왜 그럴까.

지은 죄가 크고 많아서?

지난해 이후에만도 쿠팡, SK텔레콤, KT, LG유플러스, 롯데카드, 신한카드 등 주요 플랫폼·이동통신·카드 기업에서 해킹 및 개인정보 유출 사고가 줄줄이 터졌다. 특히 이동통신 3사에선 반복적으로 터졌다. 개인정보 유출 건수도 각각 수천만 명에 달한다.

입이 열 개라도 할 말이 없을 것이다.

게다가 이재명 대통령이 직접 '패가망신'을 언급했다. 규정을 어겨 보안을 소홀히하다 가입자·이용자 개인정보를 유출하면 망한다는 인식을 갖게 해야 한다고 강조했다.

그렇다고 가만히 있을 기업과 재계가 아니다. 이들이 염치를 알았다면 우리나라 경제민주화와 재벌 개혁은 상당히 진전됐을 것이다.

왜 조용할까. '반복적 사고를 일으킨 경우'란 완충장치가 달려서?

입법 과정에서 반복적 기준 적용 구간을 어떻게 잡을 지 몰라도, 2010년 이후로만 잡아도 이동통신 3사는 이미 반복적이란 조건을 충족했거나 눈앞에 두고 있다.

그래서 전문가들의 말을 들어봤다. 시행령을 통한 무력화를 꾀하고 있을 가능성이 크다고 했다. 전례를 들어 두가지 '전술'을 예상한다.

첫째, 정부가 매출액의 3%로 돼 있는 과징금 상한을 10%로 높이려고 하는데, 관련 기업들과 재계가 이를 무력화하는 목표를 세웠다고 가정해보자.

이동통신·카드·플랫폼 기업들이 보안을 소홀히 해 통신망 해킹 및 개인정보 유출 사태가 줄줄이 터지고 있는 상황에서 제재 강화 방침에 정면으로 맞서면 여론을 악화시킬 수 있다.

이럴 때 재계가 애용하는 방법이, 법 개정 때는 목표의 30~50% 정도만 이루고, 나머지는 시행령으로 넘기는 것이다. 시행령에서 나머지 목표를 이뤄 애초 입법 취지를 무력화하거나, 안되면 절반 정도만 이룬 뒤 남은 것은 또다시 고시나 기준으로 넘겨 해결한다. 그렇게 해서도 못 이룬 게 있으면, 실제 적용 시 대형 법무법인을 앞세워 법 해석 공방을 벌이거나 언론 플레이 등을 통해 해결한다.

이른바 입법 기술이다.

개인정보보호위는 2023년 개인정보보호법을 개정하며, 형사 처벌 조항을 없애거나 수위를 낮추는 대신 경제 제재를 강화했다. 산업 발전 지원과 업계 요청을 명분 삼아 과징금을 매출액의 3%까지 부과할 수 있도록 '강화'했다.

지난해 4월 SK텔레콤 가입자 개인정보 대량 유출 건이 터졌을 때, 매출액의 3%를 단순 적용해 개인정보보호위 과징금이 5천억원에 이를 수 있다는 전망이 나왔던 배경이다. 같은 맥락에서 쿠팡 개인정보 유출 건에 대한 과징금이 1조원을 넘을 수 있다는 전망이 나온다.

하지만 이 법 시행령을 보면, 과징금 산정 기준이 갑자기 '관련 매출'로 바뀐다. 전체 매출은 상한일 뿐, 실제 과징금 산정은 관련 매출로 하도록 했다.

또한 여러 단계의 추가 절차와 판단을 거쳐 산정된 과징금을 감경하거나 가중할 수 있게 하고 있다.

개인정보보호법 시행령 '과징금의 산정기준과 산정절차'(별표 1의5)의 '과징금의 산정단계에 따른 산정방식과 고려 사유'를 보면, 과징금은 기준 금액을 산정하는 첫 단계에서 이미 푹 꺾인다. '기준 금액은 위반행위와 관련이 없는 매출액을 제외한 매출액에 위반 행위의 중대성에 따라 부과기준율을 곱해 산출한다'고 전제한 뒤, 매우 중대한 위반행위는 2.1% 이상~2.7% 미만, 중대한 위반행위는 1.5% 이상~2.1% 미만, 보통 위반행위는 0.9% 이상~1.5% 미만, 약한 위반행위는 0.03% 이상~0.9% 미만의 부과기준율을 적용하라고 하고 있다.

위반행위의 중대성 판단에 따라 과징금 기준금액이 크게 깎이는 셈이다. 절반 이하로 꺾일 수도 있다.
    
이후 수차례의 감경과 가중 절차를 거친다.

먼저 위반 행위의 기간과 횟수 위반 행위로 인해 취득한 이익의 규모, 개인정보처리자의 업무 형태 및 규모를 고려해 고시 기준에 따라 기준금액의 100분의 90의 범위에서 감경하거나 가중할 수 있도록 했다. 1차 조정이다.

이어 개인정보보호위와의 협조 등 위반행위를 시정하기 위한 조치 여부, 위반행위로 인한 피해의 회복 및 피해 확산 방지 조치의 이행 여부, 개인정보 보호 인증 및 자율적인 보호활동 등 개인정보 보호를 위한 노력, 위반 행위의 주도 여부, 위반행위 사실의 자진신고 여부에 따라, 고시 기준에 따라 1차 조정을 거친 금액의 100분의 50 범위에서 감경하거나 가중할 수 있도록 했다. 2차 조정이다.

그리고 다시 위반 행위자의 현실적 부담 능력, 경제위기 등으로 위반 행위자가 속한 시장·산업 여건이 현저하게 변동되거나, 지속적으로 악화된 상태인지 여부 등에 따라 2차 조정한 과징금의 100분의 90 범위에서 추가로 더 감경할 수 있도록 했다.

가입자 2300만명의 개인정보를 유출한 것으로 드러나, 당시까지만 해도 '사상 최악' 해킹 사태 지적을 받아온 SK텔레콤에 대한 과징금 예상액이 왜 '최대 5천억 원 이상'에서 '3천억 원 안팎'으로 꺾였고, 실제로는 1347억 원이 부과되는데 그쳤는지를 짐작해볼 수 있게 한다.

법 기술이 만들어낸 '기적의 수치'다.

법과 시행령과 고시를 함께 펴놓고 읽어볼수록 감탄사릉 연발하게 된다.

특히 추상적 용어들이 수두룩한 부분이 주목된다. 개인정보보호위 실무자와 위원들의 자의적 판단 범위가 '태평양 바다'만큼이나 넓다.

과징금 산정방식과 고려 사유 조항에만도 '매우 중대한', '중대한', '보통', '약한', '현실적인', '현저하게' 등 임의적 판단을 가능하게 해주는 용어들이 수두룩하다. 실무자와 위원들의 판단에 따라 LG유플러스·SK텔레콤·쿠팡에 대한 과징금 모두 적게는 수백억원에서 많게는 수천억원까지 왔다갔다했거나 그럴 수 있는 셈이다.

2023년 LG유플러스에 대한 과징금 산정액이 1천억 원 가까이까지 예상되다 69억원에 그쳤고, 5천억 원까지 예상되던 SK텔레콤에 대한 과징금이 1347억원으로 쪼그라진 게 어떤 배경이었는지를 짐작해볼 수 있게 한다. 그동안 1조원대로 예상돼온 쿠팡에 대한 개인정보보호위 과징금 역시 이런 과정을 거쳐 쪼그라들 가능성이 크다.

대형 법무법인에는 이게 모두 시장이다. 클라이언트(기업과 재계)의 의뢰를 받아 입법 취지가 무력화하도록 법 기술을 발휘하고, 필요에 따라 여지를 남겨 성공 보수를 챙길 수 있다.

개인정보 침해 기업ㄹ에 대한 과징금 처분 결정을 위해 열리는 개인정보보호위원회 전원회의 속기록을 살펴보면, 예상 과징금 금액이 큰 건일수록 대형 법무법인이 법률대리를 맡는 경우가 많다. 법률대리인은 개인정보 유출 조사와 조사국의 과징금 산정은 물론 과징금 처분 전원회의에도 참여해 의뢰인을 대신해 법리와 법 조항 해석 공방을 벌이고, 감경을 읍소한다.
  사전에 '작전'을 짜고, 직접 실행하기도 한다. 지난해 유영상 SK텔레콤 사장과 고학수 개인정보보호위원장의 만남을 주선해 '부적절한 만남' 논란을 빚은 것도 한 대형 법무법인의 '작품'으로 알려졌다. 가입자들에게 아무런 이익도 안되는 보상책을 남발하고, 실효성 없는 재발 방지책을 내놓는 것 등도 과징금을 감경받기 위한 준비 작업 가능성이 크다.

물론 모두 법무법인 측이 짜준 아이디어에 따른 것으로 볼 수 있다.

법무법인들은 이를 통해 거액의 수임료과 성과 보수를 챙긴다.

법무법인과 업계 관계자들을 말을 종합하면, 이동통신 3사 통신망 해킹 및 개인정보 유출 건에서는 법무법인 세종과 광장이, 쿠팡 개인정보 유출 건에서는 법무법인 세종과 김앤장이 짭짤한 재미를 보고 있는 것으로 알려졌다. 

한 대형 법무법인 관계자는 지난해 상반기부터 줄줄이 터지고 있는 해킹 및 개인정보 유출 사태와 관련해 비즈니스포스트에 "장이 섰다. 소외되는 법무법인들은 진작 관련 부처와 기관 출신들을 영입하지 못한 것을 두고 후회한다"고 말했다. 해당 규제기관 출신들의 몸 값도 높아지고 있다고 했다.

김보라미 변호사(법률사무소 디케)는 한겨레 기고에서 "무려 8년이나 기본적인 보안수칙도 지키지 않아 약 2300만 명의 개인정보가 유출되었음에도 불구하고 SK텔레콤에는 연 매출액에 비하면 미미한 수준이 부과됐다. 추후 공개된 회의록에서 드러난 사실은 최초 내부에서 산정한 과징 금액이 몇몇 민간 비상임 위원들의 '기준 금액이 너무 높다'는 취지의 질문 끝에 51%나 감액되었다는 것이다"라고 짚었다.

김 변호사는 이어 "규제기관들은 왜 제 역할을 못하거나 안하는 걸까"라는 질문을 던지며 "우리는 주무 규제기관들이 대형 로펌과 긴밀한 관계를 맺고 고위직 공무원들이나 중요 업무를 담당하는 직원들이 대형 로펌으로 이직하는 현상을 못마땅하게 볼 수밖에 없다. 왜 이런 기관의 중요 연구반이나 법령 연구 과정에서 대형 로펌 변호사들의 임김이 거센 것인지도 의심이 들기에 충분하다"고 꼬집었다.

대형 법무법인들이 법 기술을 부리는 과정을 통찰하고 있다. 입법 전 연구 단계부터 개입하고, 이 과정에서 대형 법무법인과 규제기관 간에 이미 짬짜미가 이뤄지며, 이른바 외부 전문가로 꼽히는 비상임 위원들이 앞잡이 노릇을 하고 있는 모습이 생생하게 그려진다.

개인정보보보위 전직 직원은 비즈니스포스트에 "2023년 LG유플러스 개인정보 유출 과징금 처분 당시 조사국이 산정한 과징금은 60억 원 대에서 900억 원 대까지였는데, 일부 비상임위원들의 발언을 거치며 결국 69억원 대로 결정됐다. 법무법인 업계 쪽에서 이는 엄청난 성공 사례로 남았고, SK텔레콤도 LG유플러스 사례를 참고해 해당 법무법인을 법률대리인으로 선정한 것으로 알려져 있다"고 전했다.

이른바 '법 기술자'들은 개인정보보호법 시행령에 감경 뿐만 아니라 가중도 할 수 있게 돼 있다고 항변한다. 하지만 실제 가중된 사례를 대지는 못한다.

개인정보보호위과 법무법인 관계자들의 말을 들어보면, 과징금은 감경은 돼도 가중은 잘 이뤄지지 않는다. 해당 기업과 법률대리인은 물론 해당 기업의 편을 드는 비상임 위원들까지 감경 읍소 목소리는 많아도 가중 요청은 거의 없어서란다. 재량권을 발휘해 막 깎아줘도 일부 언론의 '솜방망이 처벌' 지적을 빼고는 뭐라 할 사람도 없다.

담당자 쪽에서도 굳이 인심  사납다는 소리를 자처할 이유가 없다. 자연스럽게 '인심을 쓰는' 경우가 많아진다. 법 조항의 추상적인 용어 뒤에 숨으면 법적으로 문제가 되지도 않는다.

급기야 개인정보보호위는 지난 5일 전 직원들에게 위원장 이름의 특별 서신을 보내, 조사나 소송이 진행 중인 사건과 관련해 이해충돌 소지가 있는 외부 이해관계자와의 개별 접촉을 금지시켰다. 부당한 알선·청탁을 받으면 즉시 신고하고, 조사 과정에서 확인되거나 취득한 정보에 대해서는 철처한 보안을 유지할 것도 당부했다.

송 위원장은 "조사 등 주요 현안에 대한 업무수행 과정에서 외부의 영향력 행사와 정보획득 시도가 있을 수 있다. 이러한 시기일수록 개인정보 보호를 책임지고 있는 공직자로서, 전 직원이 각별한 경계심을 갖고 법과 원칙에 따라 공정하게 업무를 처리해 나갈 것”을 당부했다.

외부 이해관계자라고 하지만, 실제는 개인정보 유출 조사를 받고 있는 기업의 법률대리를 맡고 있는 법무법인 관계자와 조사 대상 기업으로 옮겨간 간 전직 직원들을 지목한 것이란 분석이 많다.

공정거래위원회 역시 과징금 처분을 대폭 강화하기로 했다.

공정거래법상 시장지배적지위 남용행위와 경제력 집중 억제 위반 행위, 하도급법상 서면 미발급 행위와 대금조정 협의의무 위반행위, 가맹사업법상 정보공개서 숙지기간 미준수 행위, 대규모유통업법상 부당한 경영활동 간섭 행위, 대리점법상 경제상 이익 제공 강요 행위 등 총 31개 위반 유형에 대해 형벌을 폐지하는 대신 과징금 부과 한도를 대폭 상향하거나 신규 도입하기로 했다.

표시광고법상 과징금 한도 등은 유형에 따라 과징금 한도를 지금보다 5배까지 높인다는 방침이다.

재계와 관련 기업들은 이 부분에 대해서도 조용하다.

대형 법무법인들이 주판알을 튕기며 미소짓는 모습이 눈에 선하다. 악마는 디테일에 있다. 김재섭 선임기자