개인정보 3법이 개정된 뒤 독립기관으로서의 개인정보보호위원회가 재탄생한지 만 3년이 되어간다. 많은 기대 속에서 출범했고, 그에 부응하는 많은 일을 하며 제 역할을 하고 있는 정부기관 중 하나로 꼽을 수 있겠다.
1기 개인정보보호위원회(이하 개보위)는 우리나라 개인정보보호법을 EU의 GDPR(일반개인정보보호법)과 동등한 반열로 올리는 데 주력했다. 2기는 위원장이 직접 마이데이터 산업 활성화를 챙기는 등 규제기관 역할을 넘어 정보보호 산업 육성에 큰 노력을 기울이고 있다. 또, 갈수록 영향력이 커져가는 인공지능(AI) 정보보호 리스크에 대한 대응방안을 모색하는 등 4차 산업혁명 시대에 도래할 정보보호 이슈를 꼼꼼히 연구하는 부분도 인상적이다.
지난 해부터 글로벌 빅테크 기업의 반칙에도 눈감지 않고 원칙대로 제재 결정을 내린 것도 개보위의 큰 족적이다. 이용자 동의없이 수집한 개인정보를 맞춤형 광고에 활용한 구글과 메타에 과징금 1000억원을 부과했다. 개인정보를 타사에 제공하지 못하게 하면 서비스를 이용할 수 없도록 한 메타에는 별도 과태료와 시정명령을 내리기도 했다. 온라인 맞춤형 광고 플랫폼의 정보수집 이용과 관련한 제재라는 점에서 관심을 받았다.
올해에도 어김없이 다양한 업종과 기업에서 고객정보 유출사고가 발생했다. 기업들은 피해의 당사자이지만 고객정보를 관리하는 책임자이기도 하기 때문에 묵묵히 사고를 수습하고 재발방지책을 신속히 모색해 실행했다. 하지만, 많은 언론의 시선은 개보위가 책정한 과징금 액수에만 집중됐을 뿐, 재발방지를 위한 피해기업들의 노력에 대해서는 큰 관심이 없는 듯하다. 실제로는 개보위가 제재의 수위를 정할 때 피해기업이 '다시는 유사사례가 나오지 않게 하겠다'는 의지를 담은 재발방지책을 내놓는다면 판단에 중요한 참고사항이 되는 데도 말이다.
'열 사람이 도둑 하나 못 막는다'는 말처럼, 완벽한 보안체계를 갖췄더라도 작은 실수로 모든 것이 무너지는 게 정보보호의 세계다. 기업 또는 기관의 정보보호 담당자들은 밤낮을 가리지 않고 365일, 24시간 철통같은 보안을 위해 노력하고 있지만, 유출사고가 나면 모두에게 지탄을 받곤 한다. 글로벌 보안전문기업의 설문 결과에 따르면, 한 의료기관 정보보호 담당자는 '침입자는 단 한 번만 성공하면 되지만, 최고정보보호책임자(CISO)는 항상 정확해야 하기 때문에 상당한 압박을 느낀다'고 답했다.
정보보호 담당자들의 노고를 기억하면서 더 많은 일을 할 수 있도록 지원해야 한다. 그래야 정보유출 사고가 지나가는 해프닝으로 끝나는 게 아니라 반성을 통해 정보보호 수준이 한 단계 성장하는 계기로 기억될 수 있다. 흔히 정보보호 조직을 축구의 골키퍼나 수비수로 비유하곤 한다. 현대 축구가 정교한 패싱-빌드업을 통해 득점으로 이어지는 것처럼, 정보보호 담당자들이 든든하게 제 역할을 해줘야 기업도 성과를 낼 수 있다는 것을 공감해야 한다.
제재는 원칙적으로 진행해야 한다. 매서운 회초리가 잘못을 바로잡는 데 효과적이라는 것은 분명하다. 그러나 벌칙만이 전부가 아니다. 더 큰 성장과 발전을 위해서는 변화하려는 노력에 대한 격려와 응원도 필요하다. 어떻게 보면 유출사고가 발생한 기업도 또 다른 측면에서 피해자다. 피해기업이 유출사고를 계기로 정보보호 대책을 강화하고 대규모 투자를 약속했다면 벌칙만 가할 것이 아니라 이에 대한 지지와 격려도 필요하다. 궁극적으로 우리가 지향하는 정보보호 강화의 길로 가려면 정부는, 그리고 개보위는 어떤 선택을 하는 것이 현명한 지를 고민해 보아야 할 것이다.
대구대 경영학부 교수 정인준