• 韓 개인정보 유출 최고 과징금 151억 원에 불과

• 미국은 7조 원, 유럽은 1조 원으로 중징계

• 2011년까지 개인정보 유출 관련 법도 없던 한국

• 법 개정으로 과징금 상한액, 산정 범위 올랐으나

• 손해배상금은 ‘1인당 10만 원’ 공식 벗어나기 힘들 것

2025년은 ‘개인정보 유출 사건의 해’라고 해도 과언이 아니다. 2025년 4월에 발생한 SK텔레콤 유심 정보 유출 사건은 시작에 불과했다. 2696만 건의 유심 정보가 유출되는 대형사고가 터졌지만 그 이후에도 개인정보 유출 사건이 빈발했다. 9월에는 KT에서 개인정보 유출 사고가 발생해 5500명 이상의 가입자 식별번호가 유출돼 368명이 소액결제로 약 2억4300만 원의 금전적 손실을 본 사실이 드러났다. 10월에는 LG유플러스에서도 가입자 개인정보 유출이 발생한 정황이 드러나 민관합동조사단의 조사가 진행 중이다. 12월에도 신한카드에서 약 19만 명의 가입자 개인정보가 유출됐다. 

개인정보 유출 사건의 정점은 2025년 11월 쿠팡이 찍었다. 약 3370만 명의 가입자 정보가 새어나간 것. 유출 대상의 숫자만 놓고 보면 압도적 수치다. 개인정보 유출 사건이 너무 자주 일어나다 보니 일각에서는 “한국인의 개인정보는 이미 세계인의 공공재가 아니었나”라는 자조적 반응까지 나온다. 

개인정보 유출 사건이 잦았던 건 2025년에 국한된 사안은 아니다. 2008년 2월 이커머스 업체 ‘옥션’에서 1000만여 명의 회원 정보가 유출된 사건을 시작으로 약 18년간 60건이 넘는 개인정보 유출 사고가 발생했다. 총 정보 유출 건수는 4억 건에 달한다. IT 강국을 자처하던 한국에서 이렇게까지 자주 개인정보 유출 사고가 일어나는 원인은 무엇일까. 

IT 의존도 높은 한국, 하나만 털어도 ‘대박’ 

정보보안 전문가들은 개인정보를 노리는 해커들에게 한국 기업은 ‘보물 상자’ 같은 존재라고 설명한다. 이일구 성신여대 융합보안학과 교수는 “한국의 개인정보 보안 수준이 미국과 유럽 등 다른 국가에 비해 떨어지는 편은 아니지만 한국 회사의 개인정보를 노리는 해커가 많다”며 “IT 의존도가 높은 한국은 웹 기반 서비스에 개인정보가 집중돼 있어, 해커들의 주요 공격 대상이 되기 쉽다”고 설명했다. 

개인정보 보안업계에 몸담았다는 한 관계자는 “한국의 통신사, 이커머스 기업 등이 독과점 형태라는 점도 해커를 유혹한다”고 말했다. 이 관계자는 “미국이나 유럽은 한국처럼 IT 서비스를 사용하는 인구의 비율이 높지도 않을뿐더러, 설사 높은 나라가 있다 해도 각자 이용하는 서비스가 다 다르다. 하나의 회사를 해킹해도 그다지 많은 개인정보를 빼낼 수 없다”고 설명했다. 반면 한국은 상황이 다르다고. 그는 “한국은 통신, 이커머스, 포털, 금융 등 대부분의 IT 서비스업체가 독·과점 형태라 한 회사만 털어도 많게는 수천만, 적게는 수백만 명의 개인정보를 빼낼 수 있다. 성공만 하면 ‘대박’인 공격 대상”이라고 부연했다.



실제로 개인정보 유출 사건 대부분이 소수 기업에 집중적으로 일어났다. 2025년 11월 2일 국회 정무위원회 소속 김남근 더불어민주당 의원이 개인정보위원회(이하 개보위)에서 자료를 받아 분석한 결과 2021년 일어난 개인정보 유출 건수의 96.9%가 유출 사고 상위 5개 기업에서 일어났다. 2022년에는 93.1%, 2023년과 2024년에는 각각 72.0%, 79.5%로 소폭 줄었다가 2025년에는 93.9%로 늘었다. 

김승주 고려대 정보보호대학원 교수는 “미국이나 유럽 등에서는 개인정보가 한 기업에 모이는 것을 상당히 경계하고 있다”며 “한국도 개인정보 유출을 막기 위해서는 한 기업에 다량의 개인정보가 모이는 현상을 극복할 방식을 고려해 볼 시점”이라 진단했다.

미국, 유럽에 비해 턱없이 낮은 韓 과징금

개인정보 유출 사고가 근절되지 않는 데는 처분이 그에 걸맞지 않게 약하기 때문이라는 지적도 나온다. 김 의원실의 분석 결과에는 개인정보 유출 사건과 그 처분에 대한 내용도 담겨 있다. 2020년 8월부터 2025년 9월까지 총 1억916만4905건의 개인정보가 유출됐고, 이에 따른 누적 과징금은 총 3671억1585만6000원, 누적 과태료는 총 39억6880만 원이 부과됐다. 건당 과징금과 과태료는 각각 3300원, 33원 수준인 셈이다. 김남근 의원은 “개인정보위의 처분이 가벼운 행정처분에 머무르고 있는 것은 아닌지, 과징금 및 과태료가 적절하게 부과되고 있는지 점검이 필요하다”고 지적했다. 

다른 나라는 어떨까. 개인정보 유출 사건 최고 과징금만 비교해 보면 한국의 처분은 미국이나 유럽에 미치지 못한다. 한국의 개인정보 유출 최고 과징금은 151억4196만 원인데, 2023년 3월 카카오톡 이용자 정보(이름과 연락처 등) 6만5719건이 유출된 사건에 따른 과징금이다. 한편 미국의 개인정보 유출 최고 과징금은 50억 달러(약 7조3000억 원)다. 2016년 미국 데이터분석기업 케임브리지 애널리티카(CA)가 성격검사 앱을 활용해 페이스북 이용자 8700만 명의 성향을 분석했고, 이를 당시 대선후보였던 도널드 트럼프 미국 대통령 캠프에 제공했다. 페이스북은 이 분석 데이터 유출을 막지 못해 7조 원이 넘는 과징금을 냈다. 유럽의 개인정보 유출 사건 최고 과징금은 7억4600만 유로(약 1조3000억 원)였다. 아마존이 사용자의 사용 패턴에 따라 광고를 노출하는데, 이 광고 정책이 사용자의 충분한 동의 없이 이뤄졌다는 것이 이 처분의 이유였다. 

한국의 비교적 낮은 과징금에는 사정이 있다. 개인정보 유출 사건을 다루는 규정의 역사가 길지 않기 때문이다. 대량의 개인정보를 유출해도 이를 처벌할 규정이 없었던 경우도 있다. 최초의 개인정보 유출 사건인 2008년 옥션 개인정보 유출 사고 처분만 봐도 알 수 있다. 1000만 명이 넘는 피해자가 발생했지만 옥션은 과징금을 한 푼도 내지 않았다. 당시는 개인정보보호법이 제정되기 전으로, 과징금 부과 기준도 없었다. 피해자 중 14만6601명이 집단소송을 제기했으나 2010년 서울중앙지방법원은 “옥션의 보안조치가 당시 기술 수준에서 합리적”이었다며 옥션의 손을 들어줬다. 2015년 2월 대법원도 원고 패소 판결 원심을 확정했다. 

2011년에 3월 29일 비로소 개인정보보호법이 제정됐다. 당시 개인정보보호법 64조 3에 따르면 과징금 상한선은 ‘위반행위와 관련된 매출액(개인정보를 활용한 매출액)’의 3%였다. 개인정보보호법상 위반행위와 관련된 매출이 없다면 상한선은 5000만 원이었다. 개인정보를 이용해 돈을 버는 업체가 아니라, 단순히 정보 수집 차원에서 개인정보를 보관만 해두는 회사라면 과징금 부과가 어려운 구조다. 

이 조항의 문제점은 2014년 1월 신용카드3사(KB국민카드, NH농협카드, 롯데카드) 개인정보 유출 사건에서 드러난다. 당시 카드3사에서 1억 건이 넘는 개인정보가 유출됐다. 이 사건은 최근 쿠팡의 개인정보 유출 사건과 닮았다. 쿠팡은 전 직원이 고객 개인정보 접근 허가권을 들고 나갔다면, 카드 3사 사건에서는 카드사들의 개인정보 보안을 맡았던 외주업체 직원이 개인정보를 유출했다. 개인정보 보안을 맡았던 사람이 직접 유출에 나섰으니 유출된 정보의 양도 상당했다. 이름, 주민등록번호, 연락처, 집 주소는 물론 연봉, 결혼 여부 등 세부 개인정보도 일부 유출됐다. 

개인정보 유출 사건 배상금 10만 원, 일종의 공식

집 주소와 연봉까지 털렸지만 세 회사는 모두 과징금을 부과받지 않았다. 이들이 개인정보 자체로 돈을 버는 업체가 아니라 금융사였기 때문에 과징금 부과가 불가능했기 때문이다. 카드3사가 직접 개인정보를 유출한 것이 아니라 외주업체 직원의 일탈이었다는 점도 이들의 처분을 감경시켰다. 

대신 재판부는 KB국민카드와 NH농협카드에 각각 1500만 원, 롯데카드에는 1000만 원의 벌금형을 선고했다. 재판부는 판결문을 통해 “개인정보보호법 위반은 벌금 상한액이 1000만 원이고, (KB국민카드와 NH농협카드)는 두 차례 유출이 있었음을 인정해도 최대 벌금 1500만 원”이라고 설명했다. 

당시 개인정보 유출 피해자 중 8800명은 카드3사를 대상으로 손해배상소송에도 나섰다. 1인당 50만~100만 원의 위자료를 청구했으나 실제 받은 금액은 1인당 10만 원이었다. 개인정보 유출 때문에 생긴 실질적 피해를 입증하기 어려웠기 때문이다. 유출 규모에 비해 너무 낮은 수위의 처분과 손해배상이라는 비판이 이어졌다. 이에 따라 개인정보보호법은 2015년 7월 다시 개정됐다. 이로써 개인정보 유출 피해자가 유출로 인한 실제 손해액을 입증하지 않아도 최대 300만 원까지 보상받을 수 있게 됐다. 

법은 바뀌었으나 실제 피해자들이 재판을 통해 받은 손해배상액은 크게 늘지 않았다. 2016년 5월 이커머스 업체 인터파크에서 1030만 고객의 이름과 주소, 전화번호가 유출되는 사건이 발생했다. 이 사건으로 인터파크는 44억8000만 원의 과징금을 냈다. 피해자 중 39명은 인터파크를 대상으로 손해배상을 청구했으나 역시 1인당 10만 원의 손해배상에 그쳤다. 이후 배상금 10만 원은 일종의 ‘공식’처럼 굳어졌다. 2021년 9월 온라인 지식거래 플랫폼 해피캠퍼스에서 40만3000여 명의 개인정보 유출 사건이 벌어졌을 때도 민사 손해배상금은 1인당 10만 원이었다. 

법정 최대 손해배상액이 300만 원으로 올랐는데 실제 판결에선 왜 10만 원에 그쳤을까. 해피캠퍼스 사건의 판결문을 보면 개인정보 유출 사건 민사 손해배상금이 1인당 10만 원에 그치는 이유를 알 수 있다. 판결문은 손해배상금을 10만 원으로 산정한 이유를 다음과 같이 설명한다. 

“손해배상을 청구하기 위해서는 개인정보가 유출됐다는 사실만 증명하면 되고 손해 발생 사실을 구체적으로 주장할 필요는 없다. 하지만 손해가 발생하지 않은 것이 분명한 부분까지 손해배상 의무를 인정하라는 것이 해당 조항(손해배상 최대 300만 원)의 취지는 아니다. 개인정보 처리자(개인정보 유출 회사)는 정보 주체(개인정보 유출 피해자)에게 정신적 손해가 발생하지 않았음을 증명해 법정 손해배상 책임을 면할 수 있다.” 손해의 입증 책임은 피해자에게 있고, 피해자가 실질적으로 정신적 손해가 발생했음을 입증하지 못한다면 배상을 받기 어렵다는 의미다.

2023년 9월 또 한 번 개인정보보호법이 개정되며 손해배상금 상한액이 손해의 5배로 늘었다. 과징금의 상한액도 ‘관련 매출액의 3%’에서 ‘전체 매출액의 3%’로 바뀌었다. 하지만 재판을 통해 부과될 실질적 손해배상액은 현실적으로 크게 늘지 않을 것이라는 분석도 있다. 법조계 관계자는 “정신적 피해의 범위를 폭넓게 인정한다거나 징벌적 손해배상 조항이 생기지 않는다면 여전히 10만 원의 공식이 깨지지 않을 가능성이 높다”고 설명했다. 

쿠팡의 개인정보 유출 사건에 대한 조사가 아직 끝나지 않았으니 어떤 처분을 받을지는 알 수 없다. 그러나 일련의 재판 결과를 토대로 추정컨대 직접적 피해가 발생하지 않는 한 ‘10만 원 공식’은 깨지기 어려워 보인다. 쿠팡 개인정보 유출 사태 집단소송에 참여한 박모(34·여) 씨는 “개인정보 유출로 인한 범죄의 우려와 두려움을 언제까지 국민이 고스란히 감내해야 하는지, 정부와 기업에 묻고 싶다”고 말했다.