'총매출 3% 과징금' 철퇴, 산업계 화들짝… 개인정보보호 강화책 고심

(서울=뉴스1) 이기림 기자 = '전체 매출의 3%' 과징금 룰 도입으로 개인정보보호법 처벌이 대폭 강화되면서 산업계의 경각심이 높아지고 있다. 도입 후 첫 적발사례에서 국내기업에 대한 과징금 신기록을 경신, 개인정보 보호 노력에 소홀했던 기업들에게 경종을 울렸다는 평가가 나온다.

13일 정부에 따르면 개인정보보호위원회는 지난 8일 전체회의를 열고 고객과 임직원 개인정보를 허술하게 관리해 221만 명의 개인정보 유출 사고를 낸 골프존에 75억여 원의 과징금 및 540만 원 과태료 부과, 시정명령 및 공표명령을 의결했다.

개보위는 골프존의 개인정보 보호법 준수 여부를 조사해 안전조치의무 위반 및 주민등록번호 처리제한 및 개인정보 파기 위반 사실을 확인했다.

개보위에 따르면 이번 처분은 지난해 기업 차원의 책임성을 강화하기 위해 2023년 3월 개정한 개인정보 보호법 규정이 실질적으로 적용된 첫 사례이다.

해당 규정은 과징금 상한액을 위반행위 관련 매출액 3%에서 전체 매출액 3%로 상향하고, 비례성이 확보되도록 과징금 산정 시 위반행위와 관련 없는 매출액을 제외하는 내용이다.

개인정보 보호법이 개정되기 전에는 개보위가 매출액과 위반행위의 관련성에 대해 입증해야 했지만, 이제는 위반한 기업과 기관이 위반행위와 관련 없는 매출액을 입증해야 한다.

이번 과징금의 경우에도 골프존 측은 액수를 줄이기 위해 주요 사업 중 하나인 골프 시뮬레이터 판매 등에 대한 매출액을 위반행위와 관련이 없는 것으로 주장했지만, 받아들여지지 않은 것으로 전해졌다.

개보위에 따르면 이번 과징금 부과 기준은 2020년부터 2022년까지의 전체 매출액 평균으로 했고, 일반적인 소모적 자재 판매 등 개인정보 처리에 해당하지 않거나 해외 이용객 정보가 국내로 들어오지 않는 수출 시뮬레이터 매출 등은 제외했다.

그 결과 골프존은 75억여 원의 과징금을 부과받으며 지난해 LG유플러스가 부과받은 과징금 68억 원을 넘어섰다. 국내 기업 중에서는 역대 최고액이다. 국제 기업으로 범위를 넓히면 2022년 구글 692억 원, 메타 308억 원 등이 있다.

지난해 3월 해당 개정안이 국무회의에서 의결됐을 때 '과징금 상한액 3%'는 유럽 개인정보보호법(GDPR)에서 정한 과징금 상한액인 전 세계 매출액 4%에 못 미친다는 지적이 나온 바 있다.

그러나 당시 이병남 개보위 개인정보정책과장은 "GDPR도 (과징금) 상한액만 규정하고 있고 EU 회원국들은 별도의 과징금 부과 기준을 갖고 있지 않다"며 "기업 규모나 위반 행위의 책임성 등의 기준을 갖고 별도의 과징금을 부과하고 있어 우리와 유사하다. 결코 우리가 퇴색됐거나 GDPR에 비해 과징금 규모가 적다고 말하기 어렵다"고 반박했다.

법 개정 이후 처음 적용된 이번 골프존 과징금 건은 관련 업계뿐 아니라 산업계 전반에 적지 않은 파장을 던졌다는 평가가 나온다. 더 나아가 개인정보위원들 사이에선 "이번 과징금이 적은 것 아니냐"는 반응을 보인 것으로 알려져 산업계의 긴장감은 더욱 높아지고 있다.

과징금 철퇴를 맞은 골프존은 대대적인 개인정보보호 보강조치에 돌입했다. 정보보호 투자·유지보수 예산을 전년(약 17억5000만 원) 대비 4배 이상 증가한 70억 원을 투입하기로 했다. 또한 사태 재발을 막기 위해 '2024년 정보보호 추진계획'을 수립하고 개인정보보호책임자를 포함한 전문 인력을 충원했다고 밝혔다.

강대현 개보위 조사1과장은 "전통적으로 개인정보 처리가 많이 이뤄지고 있는 서비스 영역뿐만 아니라 다양한 고객정보를 취급하는 내부 업무영역에서도 철저한 개인정보 보호조치가 적용돼야 함을 강조한 사례"라며 "이를 계기로 업무처리 전반에 개인정보 보호 수준이 향상될 것으로 기대된다"고 말했다.

lgirim@news1.kr