투데이e코노믹 = 박재형 기자 | 디지털 사회에서 개인정보는 더 이상 단순한 ‘정보’가 아니다. 그것은 개인의 정체성이며, 금융·소비·이동·관계 전반을 연결하는 삶의 인프라다. 국민이 통신사와 플랫폼 기업에 개인정보를 맡기는 이유는 편의성 이전에 ‘신뢰’ 때문이다. 그러나 최근 반복되는 대규모 개인정보 유출 사고는 이 신뢰의 토대를 흔들고 있다. 문제는 사고 그 자체보다, 사고 이후 책임기업이 내놓는 보상안이 과연 국민의 기대와 법적·윤리적 책임 수준에 부합하는지다.

기업들은 사고가 발생하면 신속한 사과와 함께 위약금 면제, 데이터 추가 제공, 멤버십 혜택, 무료 보험 가입 등의 보상책을 내놓는다. 겉으로 보면 대규모이고 전례 없는 조치처럼 보이지만, 조금만 들여다보면 ‘불편에 대한 보상’에 머물러 있을 뿐 ‘침해된 권리에 대한 배상’이라고 부르기에는 부족하다. 개인정보 유출은 단기간의 서비스 불편 문제가 아니라, 장기간에 걸쳐 2차·3차 피해로 확산될 수 있는 구조적 위험을 동반하기 때문이다.

유출된 정보는 되돌릴 수 없다. 비밀번호는 바꿀 수 있어도, 주민등록번호·연락처·이용 이력·행동 패턴은 평생 따라다닌다. 피싱, 스미싱, 금융사기, 신분 도용, 맞춤형 범죄로 이어질 가능성은 시간이 지날수록 커진다. 그럼에도 기업의 보상안은 일정 기간의 데이터 제공이나 할인 혜택으로 ‘사건을 마무리’하려는 성격이 강하다. 이는 개인정보를 단순한 서비스 부속물로 취급하는 인식의 반영이다.

더 큰 문제는 책임의 기준이다. 사고 원인이 내부 보안 관리 부실이든, 외주·공급망 관리 실패든, 최종 책임은 개인정보를 수집·관리한 기업에 있다. 그럼에도 많은 보상안은 법적 책임을 최소화하는 선에서 설계된다. ‘위약금 면제’는 계약상의 불이익을 없애는 조치일 뿐, 개인정보 침해에 대한 실질적 배상은 아니다. 무료 보험 제공 역시 사고 이후의 위험을 개인에게 다시 전가하는 구조다. 보험에 가입했다고 해서 개인정보 유출의 책임이 면제되는 것은 아니다.

글로벌 기준과 비교하면 격차는 더 분명해진다. 유럽연합(EU)의 GDPR은 개인정보 침해 시 기업 매출의 최대 4%까지 과징금을 부과할 수 있도록 하고, 실질적 피해가 입증될 경우 집단소송을 통한 배상도 가능하다. 반면 국내에서는 과징금 수준도 낮고, 피해 입증 책임이 개인에게 과도하게 전가되는 경우가 많다. 기업 입장에서는 ‘보안 투자보다 사고 후 보상이 더 싸다’는 잘못된 유인이 작동할 여지도 있다.

이제 질문은 분명하다. 국민이 맡긴 개인정보의 가치는 데이터 100GB와 몇 개월짜리 혜택으로 환산될 수 있는가. 기업이 진정으로 책임을 다하려면 보상은 최소한 세 가지를 포함해야 한다. 첫째, 유출 규모와 위험도에 비례한 실질적 금전적 배상이다. 둘째, 장기간에 걸친 피해 가능성을 고려한 상시 모니터링과 보호 조치의 무상 제공이다. 셋째, 재발 방지를 위한 보안 투자와 조직 개편을 외부에 투명하게 검증받는 구조다.

개인정보 보호는 선택이 아니라 의무다. 디지털 사회에서 기업이 국민의 데이터를 다룬다는 것은 공공 인프라를 위탁받았다는 의미에 가깝다. 사고 이후의 보상안은 기업의 ‘선의’가 아니라, 그 인식 수준을 가늠하는 잣대다. 지금 필요한 것은 ‘얼마나 많이 줬는가’가 아니라 ‘무엇에 대해 책임졌는가’라는 근본적인 질문이다. 신뢰를 잃는 것은 한순간이지만, 회복에는 그보다 훨씬 더 큰 책임과 시간이 필요하다.