카톡이나 문자도 아니고 고객 개인정보를 다루는 KT가 해킹 사고를 단 3일이나 늦게 신고했다는 사실 알고 계셨나요? 법은 해킹 사고를 알면 '24시간 안에 신고하라'고 했는데 3일 늦장 신고라니! 이미 불법 초소형 기지국, 이른바 펨토셀이 쥐락펴락한 이번 해킹 사건 피해자만 362명에 개인정보 2만 건이나 노출됐습니다. 이 정도면 국민 불안감 엄청날 만하죠. 결과는? 과징금이 매출액 3% 수준이라 KT 같은 대기업한테는 수백억 원짜리 벌금 폭탄이 될 가능성도 커졌어요.
다음은 롯데카드 해킹. 이건 규모가 더 큽니다. 무려 297만 명의 개인 신용정보가 털렸고 심지어 카드번호와 비밀번호까지 노출됐죠. 그런데 과징금은 50억원 한도? KT 과징금 규모와 비교하면 너무너무 적은 금액이죠. 왜 그럴까요? 통신사는 개인정보보호법 적용을 받으면서 매출액의 3%를 기준으로 과징금이 산정되지만, 금융사는 신용정보법이라 과징금 상한이 50억으로 정해져 있기 때문입니다. 이게 바로 법 적용의 함정! 같은 해킹 피해인데 벌금 규모는 하늘과 땅 차이라는 게 진짜 신기하죠.
통신사와 금융사 사이에 큰 벌금 격차가 생기니 보안 투자 역시 균형을 잃기 쉽습니다. 금융사는 심각한 정보 유출에도 벌금이 상대적으로 적으니 투자 동기가 약해질 수밖에 없거든요. 전문가들은 이런 불균형이 불필요한 법적 혼란을 만들고 있다고 지적합니다. 조만간 국회에서 개인정보보호법과 신용정보법을 조율하며 업종에 맞는 합리적인 제재 방식을 찾아야 한다고 해요.
향후 정보보안 사고가 점점 더 대형화하는 지금 법과 제도도 똑똑하게 업그레이드되어야 할 듯합니다. 늑장 신고하면 뭐가 무서워지는지, 그리고 같은 해킹 피해라도 법의 잣대가 왜 이렇게 차이나는지 알고 나면 혹시 내 정보라도 털렸을 때 어떤 기준으로 보호받는지 조금은 감이 잡히실 거예요. 다음에 또 흥미로운 법 관련 이야기 들고 올게요!
