2025년 대한민국이 거대한 '개인정보 유출 블랙홀'에 빠졌다. 지난 4월 SK텔레콤의 2,696만 건 유심 정보 유출을 시작으로, 11월 쿠팡에서만 3,370만 명의 정보가 새어 나가는 등 역대급 사고가 잇따랐다.
사실상 전 국민의 개인정보가 전 세계 해커들의 '공공재'처럼 떠돌아다닌다는 자조 섞인 비판이 나오는 이유다. 보안 전문가들은 한국 특유의 기형적인 IT 시장 구조를 이번 사태의 근본적인 원인으로 지목한다.
통신, 포털, 이커머스 등 주요 IT 서비스가 소수 대기업에 의해 독과점된 탓에, 해커 입장에선 한 곳만 뚫으면 수천만 건의 데이터를 손에 쥐는 이른바 '대박'을 터뜨릴 수 있는 구조이기 때문이다. 한국 기업 서버가 해커들에게 매력적인 '보물 상자'로 전락한 셈이다.
더욱 뼈아픈 문제는 사고 이후의 미온적인 대처와 솜방망이 처벌이다. 페이스북 사태 당시 미국이 약 7조 원의 천문학적인 과징금을 부과하며 기업의 책임을 강제한 것과 달리, 한국은 유출 사고가 발생해도 기업이 부담해야 할 비용이 턱없이 낮다.
법조계에서 통용되는 이른바 '손해배상 10만 원 공식'은 여전히 견고하다. 피해자가 개인정보 유출로 인한 실질적인 정신적 손해를 입증하기 어려운 현행 법적 구조 탓에, 기업들은 막대한 보안 투자 비용보다 차라리 사고 후 적은 보상금을 치르는 것이 낫다는 도덕적 해이에 빠지기 쉽다.
최근 개인정보보호법 개정으로 과징금 상한액이 전체 매출액의 3%로 상향 조정되었으나, 이것이 실질적인 소비자 피해 구제로 이어질지는 미지수다. IT 강국이라는 화려한 타이틀 뒤에 숨겨진 보안 불감증, 이제는 기술적 방어막 구축을 넘어 징벌적 배상제 도입 등 제도적 쇄신이 시급한 시점이다.