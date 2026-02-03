솜방망이 처벌이 만든 '합리적 보안 포기'

정보유출은 재해 아닌 법과 제도의 실패

4차 산업혁명 시대, 데이터는 '21세기의 원유'로 불린다. 그러나 대한민국에서 이 귀중한 자원은 구멍 뚫린 파이프에서 콸콸 새어 나가고 있다. 최근 발생한 쿠팡의 대규모 회원 정보 유출 논란부터 수십만 명의 고객 정보를 탈취당한 통신사 사태에 이르기까지, 우리 사회의 디지털 보안 불감증은 위험 수위를 넘었지만, 기업은 사과문 한 장으로 사태를 무마하려 한다. 도대체 왜 이런 후진적인 사고가 반복되는 것일까?

우리는 흔히 해킹이나 정보 유출을 어쩔 수 없는 재해나 기술적 실수로 치부하려 한다. 하지만 게리 베커와 같이 법경제학적인 관점으로 보면, 한국에서 벌어지는 개인정보 유출은 철저한 '경제적 계산'의 결과물이다. 베커는 범죄나 법 위반 행위가 이익과 비용의 함수 관계에서 결정된다고 보았다. 기업 입장에서 강력한 보안체계는 막대한 자금이 들어가는 비용이다. 반면 정보 유출로 인해 치러야 할 비용은 적발될 확률에 솜방망이 수준의 과태료를 곱한 값에 불과하다.

쿠팡과 통신사들을 보자. 이들은 단순한 유통, 통신 기업을 넘어 간편결제와 금융 데이터를 다루는 사실상의 '핀테크 기업'이다. 그러나 이들이 개인정보 보호법 위반으로 부과받는 과징금은 매출액 대비 '껌값' 수준에 불과하다. 경영진의 계산기는 명확하다. 수백억 원을 들여 보안 시스템을 구축하는 것보다, 사고가 터졌을 때 낼 과태료와 변호사 비용이 훨씬 싸게 먹힌다. 즉, 한국 기업에 허술한 보안은 실수가 아니라 이익 극대화를 위한 '합리적 경영 판단'인 셈이다.

이러한 도덕적 해이를 지적할 때마다 재계는 "과도한 처벌이 데이터 활용과 혁신을 위축시킨다"고 항변한다. 하지만 이는 시장의 신뢰 구조를 모르는 궤변이다. 오늘날 금융과 IT가 결합된 시장에서 데이터 보안은 곧 신용이다. 고객의 정보를 지키지 못하는 기업이 4차 산업혁명의 주역이 될 수 있을까? 오히려 이러한 보안 위험을 방치하는 행태야말로 한국 자본시장의 고질병인 '코리아 디스카운트'를 부추길 수 있는 요인이다.

글로벌 투자자들은 한국 기업들의 취약한 거버넌스를 불신한다. 뚫리면 회사가 망할 수도 있다는 위기감이 없으니, 보안과 같은 내부 통제 시스템에 돈을 쓰지 않는다는 것을 외국인들도 다 알기 때문이다. ESG(환경·사회·지배구조) 경영을 외치면서 고객 정보 관리라는 가장 기본적인 사회적 책임(S)조차 비용 효율 따위를 따지며 등한시하는 기업에 글로벌 자본이 높은 밸류에이션을 줄 리 만무하다.

약한 처벌은 '보안 기술의 금융화'와 발전도 저해한다. 만약 정보 유출 시 기업이 파산할 정도의 배상을 해야 한다면, 기업들은 사활을 걸고 최고의 보안 기술을 도입할 것이다. 자연스럽게 보안 산업에 자금이 돌고 기술이 혁신된다. 하지만 지금처럼 "털려도 벌금 내면 그만"인 구조에서는, 어느 기업도 보안에 비싼 값을 지불하려 하지 않는다. 결국, 헐거운 법망이 기업의 신뢰도를 갉아먹고, 관련 산업의 성장까지 가로막는 악순환을 만드는 것이다.

미국이나 유럽 등 선진국을 보자. 그들은 징벌적 손해배상제도와 강력한 개인정보 보호규정(GDPR)을 통해 고객 정보가 유출된 기업에 천문학적인 배상 책임을 지운다. "보안에 투자하는 것이 사고 수습 비용보다 훨씬 싸다"는 경제적 유인을 확실하게 제공하는 것이다. 이것이 글로벌 빅테크(대형 정보기술 기업)들이 보안 기술 경쟁력을 갖추고, 금융 시장에서 높은 가치를 인정받는 비결이다.

이제 우리도 기업의 계산기를 강제로 바꿔줘야 한다. 집단소송제의 문턱을 대폭 낮추고 징벌적 배상제를 도입해 정보 유출 사고 한 번에 기업의 존폐가 흔들릴 수 있다는 확실한 공포를 심어줘야 한다. 그래야만 기업은 비로소 보안을 '비용'이 아닌 '생존을 위한 투자'로 인식할 것이다.

개인정보가 헐값에 넘겨지는 나라에서 데이터 경제와 금융 혁신의 미래는 없다. 소비자의 정보를 지키지 못하는 기업에는 혁신을 논할 자격조차 주어지지 않는다는 냉엄한 원칙을, 이제는 법으로 증명해야 할 때다.





박성규 미국 윌래밋대 교수





최동현 팀장 nell@asiae.co.kr

