[KJtimes=김은경 기자] 정부가 반복되는 대규모 개인정보 유출 사고에 대응해 과징금 제재 체계를 대폭 강화한다. 앞으로 개인정보 보호법을 위반한 기업은 최근 매출 규모가 커졌다면 더 높은 기준으로 과징금을 부과받게 되고, 위반 정도가 심각한 경우에는 기존처럼 감경 혜택도 받기 어려워진다.

개인정보보호위원회는 19일부터 이 같은 내용을 담은 개인정보 보호법 시행령 개정안과 과징금 부과기준 고시 개정안을 시행한다고 밝혔다.

핵심은 과징금 산정 기준 강화다. 기존에는 '위반행위가 발생한 사업연도 직전 3개 사업연도의 평균 매출액'을 기준으로 과징금을 산정했다. 그러나 최근 급성장한 플랫폼·IT 기업들의 경우 실제 몸집과 영향력에 비해 과징금 규모가 지나치게 낮아진다는 지적이 이어져 왔다.

개정안은 앞으로 △직전 사업연도 매출액과 △최근 3년 평균 매출액 가운데 더 높은 금액을 기준으로 과징금을 부과하도록 바꿨다.

사실상 매출이 빠르게 늘어난 빅테크·플랫폼 기업을 겨냥한 조치라는 해석이 나온다.

실제 개인정보 유출 사고가 반복되면서 국내외에서 제재 실효성 논란은 꾸준히 제기돼 왔다. 특히 일부 플랫폼 기업들은 수천만 건 개인정보 유출 사고에도 기업 규모 대비 상대적으로 낮은 과징금을 부과받아 "솜방망이 처벌" 비판을 받아왔다.

국내에서는 카카오, 네이버, SK텔레콤 등 대형 플랫폼과 통신사를 중심으로 개인정보 유출 및 관리 부실 논란이 반복돼 왔고, 해외에서는 Meta와 Google 등이 유럽연합(EU)에서 수천억원대 제재를 받은 사례도 있다.

업계에서는 이번 개정으로 특히 AI·플랫폼·전자상거래 기업들의 보안 부담이 커질 것으로 보고 있다.

◆"협조했다고 감경?"…중대 사고엔 예외 적용

정부는 과징금 감경 기준도 대폭 손질했다. 기존에는 조사 협조나 자율보호 활동 등이 인정되면 과징금을 감경할 수 있었지만, 앞으로는 위반 정도가 '매우 중대한 수준'일 경우 감경 자체를 제한할 수 있도록 했다.

개인정보위는 "심각한 개인정보 침해 사고까지 일률적으로 감경 기준을 적용하는 것은 제재 효과를 떨어뜨리고 기업의 예방 노력 유인을 약화시킬 수 있다는 지적이 있었다"고 설명했다.

법조계에서는 이번 조치를 두고 국내 개인정보 규제가 유럽연합 GDPR 체계와 유사한 방향으로 강화되는 흐름이라고 평가한다.

한 정보보호 전문 변호사는 "기존에는 국내 기업들이 과징금을 일종의 영업 비용처럼 받아들이는 경향도 있었다"며 "이제는 현재 기업 규모와 실제 경제력을 기준으로 제재가 강화되기 때문에 경영 리스크 차원이 달라질 수 있다"고 말했다.

특히 AI 산업 확대와 데이터 활용 경쟁이 치열해지는 상황에서 기업 내부 보안 투자 압박도 커질 전망이다.

최근 생성형 AI와 클라우드 기반 서비스 확산으로 개인정보 처리 범위가 급속히 커지고 있지만, 보안 체계는 이를 따라가지 못한다는 우려가 이어져 왔다. 실제 랜섬웨어와 해킹, 내부 정보 유출 사고가 반복되며 금융·통신·플랫폼 업계를 중심으로 소비자 불안도 커지는 상황이다.

다만 재계에서는 과도한 제재 강화가 기업 활동 위축으로 이어질 수 있다는 우려도 나온다.

한 IT업계 관계자는 "보안 투자 확대 필요성에는 공감하지만 기술 환경이 워낙 빠르게 변하는 상황에서 모든 사고를 기업 책임으로만 연결하는 것은 현실적 한계도 있다"며 "특히 AI·데이터 산업 경쟁이 글로벌 단위로 이뤄지는 상황에서 규제 균형도 중요하다"고 말했다.

개인정보위는 이번 개정을 통해 "기업의 현재 경제력과 위반행위 정도에 상응하는 과징금 부과 체계를 구축하겠다"며 "중대한 개인정보 침해에 대해서는 보다 엄정하게 대응해 나갈 것"이라고 밝혔다.