[현장에서] 개인정보 규제, 지키기 쉽게 바꿀 때

쿠팡 3000만명 이상 개인정보 유출

유출 책임 규제와 현장 간 괴리

규제 UX 개선으로 보안 강화 필요

[세종=뉴스핌] 이경태 기자 = 그야말로 신상이 모두 털린 시대다. 쿠팡에서만 3000만 명이 넘는 고객의 이름, 주소, 연락처가 유출됐다는 사실은 "안 털린 사람을 찾기 어렵다"는 자조까지 불러온다.

지난 5년간 공식 통계로만 1억916만건의 개인정보가 유출됐다. 국민 1인당 평균 두 번씩 정보가 새어나간 셈이다. 그런데 정부가 책임 기업과 기관에 부과한 누적 과징금은 3671억여원, 과태료는 39억여원에 그쳤다. 건당으로 환산하면 과징금 3300원, 과태료 33원꼴이다. 내 정보 한 건의 값이 커피 한 잔 값도 되지 못한다.

유출 책임이 있는 기업과 기관은 467곳, 민간 부문이 93.8%로 압도적이다. 더 놀라운 건 유출이 소수 대형 사업자에 집중된다는 점이다. 2025년 기준, 상위 5개 기업·기관이 전체 유출의 90%를 훌쩍 넘었다.

해킹만이 원인도 아니다. 민간·공공을 막론하고 업무과실과 내부사고 비중이 실제로 더 높다. 이는 '기술' 이전에 관리 체계와 일상의 허술한 절차, 위기대응 문화가 근본 원인이라는 점을 보여준다.

쿠팡 사태가 드러낸 것은 규제의 강도와 현장 사이의 괴리다. 퇴사자 인증키 방치, 몇 달간 탐지되지 못한 계정 이상활동, 제대로 고지되지 않은 유출 사실 등이 바로 그것이다. 명목상 법과 규정은 있었지만 "지킬 수 있게 설계돼 있었던가"라는 본질적 질문이 남는다.

현행 규제 프레임은 스타트업과 중소기업에도 대기업과 거의 같은 책임을 요구한다. 그러나 현실에서는 전문 보안 인력도, 법무팀도 없이 대표나 개발자가 겸하는 구조가 대부분이다. "지키기 어려운 규제는 시행되지 않는 법과 같다"는 뼈아픈 진실을 마주하는 시점이다.

그렇다고 규제를 완화해야 한다는 얘기가 아니다. 개인정보를 허술하게 다루는 스타트업이 내 정보, 가족의 정보를 다룰 수 있다는 불신만 키울 것이다. 필요한 건 '규제 완화'가 아니라 '지키는 경험'을 바꿔주는 것, 즉 개인정보보호 규제의 UX(사용자 경험)를 개선하는 일이다.

규제의 UX라고 한다면, '최소수집·목적의 명확화·보관기간·안전조치' 같은 원칙은 유지하되, 이를 실행하는 과정이 불필요하게 복잡하지 않도록 만드는 것이다.

예컨대 매출과 이용자가 적은 스타트업에는 표준 약관, 개인정보처리방침, 기본 로그 및 암호화 패키지, 샘플 UI를 정부가 제공하고, 자가 점검과 신고는 자동화하며, 클라우드·SaaS 환경에 맞춘 보안설정 가이드와 진단 도구까지 내려줄 수 있어야 한다. 과실과 고의 위반을 명확히 구분해 시정·교육과 강력 제재를 나누는 것도 균형을 잡는 방법이다.

그렇다면 왜 이런 변화가 꼭 필요할까. 지난 5년간 1억 건이 넘는 유출 가운데 행정처분(과태료·공표·시정 권고)이 80% 이상을 차지했고, 고발과 징계권고는 1%에도 못 미쳤다. 이 가운데 상당수 사고가 자동화·감시 기술의 부재라기보다 기본적인 관리 실수와 절차 누수에서 비롯된 것으로 집계된다는 점은, 현장의 '지키는 경험', 즉 규제의 설계 방식이 얼마나 취약한지 보여준다.

모든 주체에 똑같은 규제를 강제하다 보니, 실제 보안의 '품질' 대신 형식적 법 준수와 서류행정만 늘어난 결과이기도 하다.

이미 백만명 단위 개인정보가 다크웹에서 거래되고, 피해자들은 비밀번호를 바꾸며 스미싱을 걱정한다. 바뀌지 않는 구조, 너무 약한 처벌, 지키기 힘든 규제가 반복적으로 거론되는 것을 끝내려면 시스템의 UX를 바꾸는 데서 시작해야 한다.

규제의 강도는 유지하면서, 실제로 지킬 수 있는 디자인과 기술을 보급해야 한다는 말이다. 이것이 '모두 털린 시대'에 우리 사회가 반드시 넘어야 할 첫 번째 관문이다.

biggerthanseoul@newspim.com