지난 5년간 국내 공공·민간 기관에서 발생한 개인정보 누출 규모가 8854만건에 이르렀으나, 건당 제재금액은 평균 천원 정도에 머물러 '솜방망이 처벌' 논란이 일고 있다.

22일 국회 정무위 민병덕 더불어민주당 의원실이 개인정보보호위 자료를 분석한 결과에 따르면, 2021년부터 올해 7월까지 총 451차례 사고를 통해 8854만3천여건의 개인정보가 외부로 유출된 것으로 파악됐다.

이에 대한 제재 현황을 살펴보면 125건의 위반 사례에 대해서는 총 877억2732만4천원의 과징금이, 405건에 대해서는 24억9880만원의 과태료가 각각 부과됐다. 개별 사안 기준으로는 과징금이 평균 약 7억원, 과태료가 약 617만원 규모다.

하지만 실제 유출된 개인정보 건수를 기준으로 계산하면 전혀 다른 그림이 그려진다. 개인정보 1건당 평균 제재금액(과징금·과태료 통합)은 1019원에 불과했다. 대규모 유출 사고 한 차례로 수백만건의 정보가 한꺼번에 노출되면서, 실질적인 처벌 수위가 현저히 낮아지는 구조적 문제가 드러난 것이다.

연도별 추이를 보면 개인정보 1건당 제재액은 2021년 41원, 2022년 200원에서 시작해 2023년 1063원, 2024년 8302원으로 상승했다. 올해는 7월까지 집계 기준 2743원으로 나타났다.

현재 개인정보보호법에서는 위반 기업의 전체 매출액 3% 한도 내에서 과징금을 책정하도록 규정하고 있다. 이때 위반 행위와 직접적 연관성이 없는 매출 부분은 산정 대상에서 제외할 수 있다. 매출액 확인이 어렵거나 해당 사항이 없을 경우에는 20억원을 상한선으로 과징금을 부과한다.

이와 대조적으로 EU의 일반개인정보보호법(GDPR)은 훨씬 강력한 제재 체계를 운영하고 있다. 핵심 규정 위반시 2천만유로(약 328억원) 또는 직전연도 글로벌 매출액의 4% 중 높은 금액을 과징금으로 부과한다. 실제 사례로 아마존은 2021년 GDPR 위반으로 룩셈부르크 규제당국으로부터 7억4600만유로(약 1조2252억원)의 과징금 처분을 받은 바 있다.

민병덕 의원은 "최근 SK텔레콤 USIM 정보 누출 사태에 이어 KT의 개인정보 유출로 인한 소액결제 피해까지 연이어 발생하면서 현행 정보보호 규제의 실효성에 대한 의문이 커지고 있다"며 "GDPR 수준의 과징금 제도 도입과 더불어 집단소송제, 징벌적 손해배상제 등 보다 실효성 있는 제재 방안이 필요하다"고 지적했다.