송경희 개인정보위원장 "유출 신고 빨리하는 기업에 인센티브"

SKT 과징금 논란에 "사고규모·피해정도 등 종합 고려한 판단" 대형 사고 잇따르는데도 조사 인력 제자리…"인력확충 불가피"

2025-11-24     박지선
송경희 개인정보보호위원장이  지난 20일 서울 종로구 정부서울청사에서 연합뉴스와 인터뷰를 하고 있다. (사진=연합뉴스)

[딜라이트닷넷=박지선 기자] 송경희 개인정보보호위원회 위원장은 일부 기업이 '인지 후 72시간 이내 신고' 법 규정을 이유로 개인정보 유출 신고를 지연하는 것과 관련해 "신속한 신고와 적극적인 피해구제 조치를 이행한 기업에는 (과징금) 감면 등 인센티브를 부여하는 방안을 검토 중"이라고 말했다.

송 위원장은 지난 20일 정부서울청사에서 연합뉴스와 진행한  인터뷰에서 "현행 규정은 지체 없이 신고할 수 있음에도 72시간 이내에만 신고하면 된다는 취지가 아니다"라면서 이같이 밝혔다.

현행 개인정보보호법 시행령은 개인정보처리자가 1천명 이상의 개인정보 또는 민감정보가 유출된 사실을 알게 되면 72시간 이내에 개인정보보호위원회에 신고하도록 규정하고 있다.

그러나 일부 기업이 "해킹은 있었지만, 개인정보가 실제로 유출됐는지는 확인되지 않았다"는 이유를 내세워 신고를 미루거나, 유출 사실을 알고도 제때 신고하지 않는 등 해당 규정을 사실상 악용하는 사례도 나타나고 있다.

송 위원장은 최근 SK텔레콤, 예스24, GS리테일 등 대형 개인정보 유출 사고가 잇따르는 상황과 관련해 "우리 국민 개인정보의 가치가 그만큼 높아졌다는 의미"라고 진단했다.

그러면서 "개인정보 관리체계 문제점이 근본적으로 개선되지 않을 경우 언제든지 대규모 유출 사고가 반복될 수 있다"며 "모든 상품과 서비스를 설계단계부터 개인정보를 보호할 수 있는 구조가 시스템적으로 마련될 수 있도록 하는 것이 필요하다"고 지적했다.

개인정보위는 지난 8월 SK텔레콤에 역대 최대 규모인 1347억9100만원의 과징금과 960만원의 과태료를 부과한 바 있다.

이에 대해 일각에서는 과징금이 과다하다는 지적과, 2300만명의 개인정보가 유출된 점을 고려할 때 여전히 과소하다는 비판이 동시에 나왔다.

송 위원장은 이런 논란에 "과징금의 경중에 대해서는 각자의 입장에 따라 의견이 다를 수 있다"면서도 "중요한 것은 처분 대상자가 누구냐가 아니라 사고의 성격, 유출 규모와 피해 정도, 유출된 정보의 유형, 피해회복 조치 이행 여부"라고 강조했다.

이어 "이 정도의 문제가 생기면 이 정도의 과징금을 받을 수 있다고 다른 기업들에게 경고하는 의미도 있다"며 "KT의 유출사건도 엄중히 보고 있다"고 덧붙였다.

올해 9월까지 개인정보위가 내린 시정명령, 과징금 등을 취소해달라며 당사자들이 낸 소송은 모두 17건에 달한다. SK텔레콤도 과징금 불복 소송을 제기할 가능성이 크다.

송 위원장은 이처럼 기업이 개인정보위 처분에 불복해 소송을 제기하는 상황과 관련해서 "대규모 사고가 늘면서 처분 건수와 과징금 규모가 커진 것은 맞지만, 소송 건수가 폭발적으로 증가한 것은 아니다"라고 선을 그었다.

그러면서 "개인정보보호법 제정 이후 선례가 충분히 축적되지 않아 기업들이 사법부 판단을 받아보려는 입장이 강한 것으로 이해한다"면서도 "이에 대응하기 위해 올해 초 소송 전담팀을 구성했고 과학적인 조사 분석을 위해 포렌식랩도 구축 중"이라고 설명했다.

그는 개인정보위 조사관 인력이 2023년 출범 이후 계속 30명 수준에 머물러 업무 부담이 커지고 있다며 인력 확충이 불가피하다고 강조했다.

송 위원장은 "디지털 전환과 인공지능(AI) 확산으로 개인정보 보호환경이 매우 까다로워지고 있다"며 "제한된 조직과 예산으로는 늘어나는 보호 수요를 감당하기 어려운 것이 현실"이라고 털어놨다.

그는 "예방전담 부서를 신설하고, 유출조사·조정 기능을 담당할 인력과 예산을 확보하기 위해 관계부처와 협의 중"이라며 "연내 입법 예정인 AI 특례심사 등 데이터 안전활용 체계를 구축하기 위한 전담 조직도 검토하고 있다"고 말했다.

아울러 송 위원장은 개인정보 전반을 아우르는 명확한 규율 체계와 일관된 거버넌스를 마련할 필요가 있다고 강조했다.

그는 "해외에서는 신용정보·위치정보 등 개인정보 감독 기능을 한 기관으로 통합한 사례가 많지만, 우리나라는 관련 기능이 부처별로 분산돼 있어 기업과 기관이 어려움을 겪는다"며 "보다 효율적인 개인정보 규율 체계를 마련하기 위한 논의를 이어갈 필요가 있다"고 말했다.

롯데카드 사례처럼 유출된 정보가 '개인신용정보'로 분류되면 개인정보보호법이 아닌 신용정보법이 우선 적용되며 기업의 신고도 금융감독원에 해야 한다.

이처럼 정보 유형에 따라 감독 권한과 신고 체계가 나뉘어 있는 구조가 현장의 혼란을 불러올 수 있다는 취지다.