최근 국회를 통과한 개인정보보호법 개정안의 핵심은 처벌의 '실효성'입니다. 과거의 미미한 과징금이 기업 입장에서 "사고 내고 벌금 내는 게 방어 비용보다 싸다"는 인식을 심어주었다면, 이제는 한 번의 실수로 기업의 근간이 흔들릴 수 있는 시대가 열린 것입니다.
1. 왜 '순이익'이 아닌 '매출액' 기준인가?
많은 기업이 억울함을 호소하는 대목이지만, 법이 '매출액'을 고집하는 데에는 명확한 정책적 의도가 있습니다.
징벌적 효과의 극대화: 순이익은 회계 처리 방식에 따라 적자로 표시될 수도 있고, 다양한 비용 처리를 통해 축소될 수 있습니다. 반면 매출액은 기업의 시장 영향력과 규모를 나타내는 가장 객관적인 지표입니다. 이를 기준으로 삼아야 기업이 실질적으로 체감하는 '위협'이 성립됩니다.
불법 수익 환수 이상의 의미: 단순히 유출로 얻은 이익만 회수하는 것이 아니라, 대규모 데이터를 취급하며 이윤을 창출하는 기업에게 그만큼의 '사회적 책임'을 강제하는 것입니다.
글로벌 스탠다드(GDPR)와의 정합성: 유럽의 개인정보보호법(GDPR) 역시 전 세계 매출액의 4%를 과징금으로 부과합니다. 한국의 3%에서 10%로의 상향은 글로벌 수준에 맞추거나 오히려 이를 상회하는 수준으로 보안 주권을 강화하겠다는 의지입니다.
2. '고의·중과실'이라는 모호한 칼날
이번 개정안의 무서운 점은 과징금의 대상이 '전체 매출액'으로 확대되었다는 점과 함께, 그 적용 기준이 '고의 또는 중과실'이라는 점입니다.
입증 책임의 무게: 기업이 보안을 위해 최선을 다했음을 증명하지 못하면, 사고 발생 시 '중과실'로 간주될 가능성이 큽니다. 이는 기업이 단순한 방어를 넘어, 자신들이 '무결함'을 증명해야 하는 방어적 보안 체계에 매몰되게 만듭니다.
선택과 집중의 강요: 매출액 대비 10%는 흑자 기업조차 단숨에 자본 잠식에 빠뜨릴 수 있는 금액입니다. 경영진 입장에서 보안은 이제 IT 부서의 숙제가 아니라, 재무제표를 지키기 위한 최우선 경영 과제가 되었습니다.
3. 보안 시장의 양극화와 '컴플라이언스 2.0'
이러한 법적 변화는 기업들에게 두 가지 길을 제시합니다.
실효성 중심의 투자: 과징금을 맞느니 그 비용을 보안 인프라와 전문 인력 확충에 쏟아붓는 '공격적 보안'이 활성화될 것입니다.
책임 회피성 보안: 역설적으로 법적 처벌을 피하기 위해 형식적인 서류 작업과 '면피성' 인증에 더 집착하는 부작용이 나타날 수도 있습니다.
데이터 경제의 '세금' 혹은 '입장료'
결국 '매출액 10%'라는 기준은 대중의 데이터를 자원으로 삼아 돈을 버는 기업들에게 부과하는 가장 무거운 '책임의 무게'입니다. 이제 데이터는 기업의 가장 큰 자산인 동시에, 관리에 실패하는 순간 기업을 무너뜨리는 가장 위험한 부채가 되었습니다.
국가는 기업들에게 묻고 있습니다. "당신들이 벌어들이는 거대한 매출 중, 그 가치를 만들어준 개인들의 정보를 지키기 위해 얼마를 쓸 용의가 있는가?"
참고 문헌 (References)
- 대한민국 법제처 (2025), 「개인정보보호법 일부개정법률안 공포 공고」.
- European Commission (2016/2024), 「General Data Protection Regulation (GDPR) Guidelines on Administrative Fines」.
- 한국인터넷진흥원(KISA) (2025), 「개인정보 유출 과징금 부과기준 해설서」.