[인터뷰] 김도승 "쿠팡 정보 유출은 '사회적 재난'...디지털 안전망 짜야"


김도승 개인정보보호법학회 회장 신년 인터뷰
"잇단 정보 대형 유출, 기업의 '보안 불감증'과 '구멍 난 안전망'이 빚은 참사"

김도승 개인정보보호법학회 회장이 6일 오전 서울 마포구 상암동 <더팩트> 사옥에서 인터뷰에 앞서 포즈를 취하고 있다. /서예원 기자

[더팩트 | 박순규 기자] "2025년이 ‘AI 대전환’이라는 화려한 구호 속에서 대규모 정보 유출의 공포를 목격한 해였다면, 2026년은 무너진 신뢰를 다시 세우는 ‘디지털 권리 회복’의 원년이 되어야 합니다."

지난해 대한민국은 ‘데이터 유출 공화국’이라는 오명에 시달렸다. 상반기 SKT의 유심 정보 유출부터 연말 온 국민을 충격에 빠뜨린 쿠팡의 3,300만 건 대규모 유출 사태까지, 통신·유통·금융을 가리지 않고 터져 나온 사고들은 우리 사회의 디지털 안전망에 심각한 구멍이 뚫려 있음을 적나라하게 보여주었다. AI(인공지능) 기술은 빛의 속도로 발전하고 있지만, 이를 뒷받침해야 할 법적·제도적 장치는 여전히 아날로그 시대의 유물에 머물러 있다는 지적이 나온다.

<더팩트>는 병오년(丙午年) 새해를 맞아 국내 데이터 법제 분야의 권위자인 김도승 개인정보보호법학회장을 만나 우리 사회가 당면한 디지털 위기의 본질과 해법을 물었다. 김 회장은 잇따른 대형 참사를 단순한 기술적 결함이 아닌 기업의 ‘보안 불감증’과 정부의 ‘제도적 한계’가 빚어낸 "디지털 사회적 재난"으로 규정했다.

특히 그는 현재 국고로 전액 귀속되는 천문학적인 과징금 시스템을 대대적으로 수술해야 한다고 강조했다. 기업에게 걷은 과징금을 재원으로 ‘개인정보보호기금’을 신설해, 실질적인 피해자 구제와 중소기업 보안 투자로 환류시키는 선순환 구조를 만들어야 한다는 파격적인 제언이다. 아울러 역대 최대 규모가 예상되는 쿠팡 제재를 둘러싼 미국 투자자들의 ISDS(투자자-국가 분쟁 해결 제도) 제소 움직임에 대해 "감정적 대응보다는 정교한 법리로 국익과 국민 안전을 동시에 지켜야 한다"는 현실적인 조언도 아끼지 않았다.

AI 에이전트의 일상화가 가져올 새로운 프라이버시 위협부터 데이터 3법의 미래까지, 김도승 회장이 제시하는 ‘신뢰 기반의 디지털 질서’를 향한 청사진을 들어봤다. 인터뷰는 6일 <더팩트> 스튜디오에서 한 시간가량 진행됐다.

6일 오전 서울 마포구 상암동 <더팩트> 사옥에서 인터뷰를 하고 있는 김도승 한국정보보호법학회 회장. /서예원 기자

-지난해는 유독 대형 개인정보 유출 사건이 끊이지 않았던 한 해였습니다. 상반기 SKT의 유심 정보 유출부터 연말 쿠팡의 대규모 유출 사건까지, 국민적 불안감이 상당했는데요.

2025년은 우리 사회가 ‘AI 대전환’이라는 거대한 기회와 ‘대규모 정보 유출’로 인한 신뢰 상실의 위기를 동시에 마주한 한해였습니다. 통신·금융·유통을 가리지 않고 터져 나온 대형 사고들은 기술 혁신이라는 화려한 구호 이면에 감춰진 기업들의 보안 불감증과 관리적 해이를 적나라하게 보여주었다고 생각합니다. 단순히 기업을 꾸짖는 것을 넘어 왜 우리의 제도가 이런 사고를 막지 못하는지 그리고 AI 시대로 가는 길목에서 우리가 놓치고 있는 법적 가치가 무엇인지 더 치열한 고민이 필요합니다. 2026년은 이러한 성찰을 바탕으로 보호와 활용이 선순환하는 ‘신뢰 기반의 디지털 질서’를 구체화하는 원년이 되어야 할 것입니다.

- 최근 쿠팡과 SKT 등 대형 유출 사건이 빈번합니다. 어떻게 진단하시나요?

반복되는 대규모 유출은 단순한 기술적 사고가 아니라, 우리 사회의 ‘디지털 안전망’에 구조적 결함이 생겼음을 의미합니다. 대형 플랫폼 기업들이 데이터 활용을 통한 수익 극대화에는 몰입하면서도, 그에 상응하는 데이터 관리 책임과 보안 투자는 비용으로만 치부해 온 결과입니다. 이제 유출 사고를 기업 생존을 위협하는 ‘디지털 중대 재해’로 인식하고, 보안을 경영의 최우선 가치로 내재화하는 근본적인 체질 개선이 필요합니다.

김도승 개인정보보호법학회 회장이 지난해 11월 서울 종로구 크레센도빌딩에서 개인정보보호법학회 주최로 열린 인공지능 대전환 시대 개인정보보호법의 재설계에 참석해 개회사를 하고 있다. /임영무 기자

-쿠팡 사건에서 사측이 자체 조사를 기습 발표하고 유출 규모를 축소했다는 논란이 있습니다. 어떻게 평가하십니까?

공식 조사가 진행 중인 상황에서 기업이 자의적인 포렌식 결과로 여론을 호도하는 것은 조사 방해이자 증거 훼손 우려가 크다는 비판이 있습니다. 실제로 개인정보보호위원회는 자체조사 결과 공지를 중단하라 촉구하기도 했습니다. 반면 유출자로 지목된 전직 직원을 접촉하여 노트북을 회수하고 확인된 사항을 알리는 것은 유출 사고로 인한 피해의 확산을 막기 위한 적극적인 조치의 일환으로 볼 수도 있습니다.

이제까지 대부분의 개인정보 유출사건이 불상의 해커였던 것과 달리 쿠팡 사건은 침입자가 사실상 특정되어 있고, 개인정보보호법은 피해의 확산을 방지할 의무를 부여하고 있기도 합니다. 문제는 이러한 상반된 시각이 과연 과징금 부과 등 행정적 제재를 함에 있어 피해확산을 막은 적극적 조치로 보아 감경요소로 볼지 아니면 정부조사를 방해하고 혼란을 야기하는 가중요소로 볼지에 따라 상당히 다른 결론을 내게 될 겁니다.

- 쿠팡 사건 과징금이 역대 최대가 될 것이라는 전망이 지배적입니다. 어느 정도 수준을 예상하십니까?

과징금 산정은 단순히 전체 매출액의 3%라는 기준이 획일적으로 적용되는 것이 아니라 다양한 가중·감경사유가 적용되는 복잡한 과정입니다. 다만, 이제까지 알려진 사실로 볼 때 유출된 개인정보가 3300만 계정으로 막대한 규모이고, 쿠팡의 연간 매출액이 40조를 넘어서는 만큼 상당한 금액이 부과될 가능성이 큽니다.

플랫폼 기업인 쿠팡의 비즈니스 특성상 관련없는 매출액이라 제외할 부분도 크지 않을 것입니다. 이번 사건에 대한 국민적 관심이나 연일 제기된 정부내 강경입장을 고려하면 역대 최대액이 될 가능성도 배제할 수 없을 겁니다(현재까지 개인정보보호법 위반 과징금 최대액은 지난해 SKT 개인정보 유출 과징금 약 1,348억원입니다).

쿠팡의 개인정보 유출 사건과 관련해 셀프조사로 증거인멸 의혹을 받는 해롤드 로저스 쿠팡 한국 임시 대표(맨 왼쪽)가 지난달 30일 오후 서울 종로구 서울경찰청에 피의자 신분으로 출석하고 있다./이새롬 기자

-과징금 산정 시 가장 핵심이 될 쟁점은 무엇인가요?

세 가지가 핵심입니다. 먼저, 개인정보보호법 제29조 안전조치의무 위반의 중대성입니다. 이번 유출 사고의 원인이 된 전직 직원의 로그인 인증에 사용되는 핵심 암호키(서명키) 탈취에 대해 쿠팡의 과실을 어느 정도로 평가할지가 관건입니다. 둘째, 조사 협조의 진정성입니다. 노트북 회수, 자체 조사 발표 등 쿠팡의 일련의 대응조치가 후속 피해방지나 정부 조사에 미친 영향에 따라 중요한 가중 또는 감경요인이 될 것입니다.

이와 관련하여서는 개인정보보호위원회는 현재 범인으로 지목된 전직 중국인 개발자에 대해서도 적극적으로 조사를 할 필요가 있다고 생각합니다. 마지막으로 유출된 정보의 성격과 피해의 심각성 여부에 대한 판단입니다. 이번에 유출된 개인정보가 이름과 이메일주소가 주를 이루지만 일부 배송지 주소나 공동현관 비밀번호 등 실생활 안전 정보를 포함하고 있기 때문입니다.

- '개인정보보호기금' 신설을 강력히 주장하고 계십니다.

현재 기업이 내는 막대한 과징금은 국가 국고로 환수될 뿐, 피해를 입은 국민의 구제나 보안 기술 투자로 환류되지 않습니다. 미국과 달리 집단소송이 인정되지 않기 때문에 개인이 각각 소송을 통해 피해구제를 받아야 하고 많은 시간이 걸립니다. 지난 2014년 발생한 카드 3사 개인정보 유출 사건에서도 배상액은 위자료 10만원 정도였고 그마저도 3년이 넘는 긴 시간이 걸렸습니다.

유출 사고는 일종의 '디지털 사회적 재난'입니다. 과징금을 재원으로 하는 피해구제기금을 신설하여 피해자 구제 및 지원, 보안 취약계층 보호, 중소기업 보안 컨설팅 등에 사용한다면 제재가 다시 안전으로 연결되는 선순환 구조를 만들 수 있습니다. 이는 기업에게도 사회적 비용 분담이라는 명분을 줄 수 있는 합리적 대안입니다. 최근 민주당 박상혁 의원께서 기금 신설에 대한 입법을 발의하였는데 매우 고무적인 일이라고 생각합니다.

김도승 개인정보보호법학회 회장 인터뷰 내용 요약./AI 그래픽

-개인정보 유출 과징금 상한을 현행 전체매출액 3%에서 10%로 높이는 법안이 유력하게 논의되고 있습니다.

개인정보 보호에 대한 기업의 인식 전환을 위해 제재의 실효성을 높이려는 취지에는 공감하지만 과징금 인상만이 능사는 아닙니다. AI 기술이 급속하게 발전하면서 일반인도 손쉽게 해킹이 가능한 실정이고 무엇보다 사회 전반의 디지털화가 심화될수록 해킹 위협은 더 일상화될 것이기 때문입니다. 더 중요한 것은 제재의 명확성과 예측 가능성입니다.

안전조치 의무 같은 추상적 기준이 명확히 정립되지 않은 상태에서 10%라는 고율의 과징금만 도입하면 기업의 경영 불확실성이 극대화됩니다. 이는 투자를 위축시키고 글로벌 통상 마찰의 빌미가 될 수도 있습니다. 또한 해킹의 직접 피해자는 정보주체인 국민입니다. 따라서 과징금 부과율 인상은 기술적 준거 기준의 구체화와 기금 설치를 통한 피해 구제 방안과 반드시 패키지로 논의되어야 합니다.

- 대외 리스크와 글로벌 통상 이슈에 대해서도 빼놓을 수 없겠습니다. 최근 미국 투자자와 의회에서는 이번 쿠팡 조사를 '정치적 마녀사냥'이라며 반발하고 있습니다.

미국 측은 이번 전방위 조사가 쿠팡이라는 특정 미국계 기업을 겨냥한 차별적 규제라고 주장합니다. 만약 제재 과정에서 국내 기업과 차별적인 기준이 적용된다는 인상을 준다면, 이는 국제법적 분쟁으로 번질 리스크가 큽니다. 정부는 이번 조사가 국민의 생명과 안전 보호라는 정당한 공공 정책적 목적임을 논리적으로 설득하는 동시에 절차적 투명성을 철저히 견지해야 합니다. 그런 측면에서 개인정보 유출로 시작된 조사가 기업의 세무, 노동, 공정거래 등 보안과 직접적 관련이 없는 전 영역으로 확대되는 것은 법리적으로 위험합니다. 특정 목적을 위해 별개의 권한을 총동원하는 방식은 행정권 남용이라는 비판을 피하기 어렵기 때문입니다.

- 이번 쿠팡 사안이 ISDS(투자자-국가 분쟁 해결 제도)로 비화할 수 있다는 우려에 대해서는 어떻게 보십니까?

제재 수위가 비례성을 잃거나 조사 과정에서 부당한 압박이 있었다고 판단될 경우, 미국 투자자들이 한미 FTA 위반을 근거로 ISDS를 제기할 가능성이 있습니다. 실제로 쿠팡의 미국 투자자들이 한국 정부를 상대로 수백억 달러 규모의 ISDS 제기를 예고하고 있습니다. 정당한 법 집행이 외국 기업에 대한 차별이나 보복성 조사로 비칠 경우, 우리 기업들이 해외에서 겪게 될 역차별은 물론 국가적인 통상 손실로 이어질 수 있습니다. 정부는 강한 채찍보다는 정교한 법리로 국민을 안심시키고 국제 사회를 설득해야 합니다.

- 쿠팡 사건으로 지난해 뜨겁게 논의가 진행되었던 데이터법제의 혁신에 대한 논의가 다소 위축된 것 같습니다. 학회장께서는 인공지능 3대 강국 도약을 위해 개인정보보호법의 변화 필요성을 강조하셨는데요.

무엇보다 기존의 엄격한 사전동의 제도에 대한 재설계가 시급합니다. 수백만 건의 데이터를 학습하는 AI 환경에서 일일이 사전에 동의를 받는 것은 불가능할 뿐만 아니라 정보주체에게도 ‘클릭 노동’만 강요하는 요식행위가 되었습니다. ‘계약의 이행’이나 ‘정당한 이익’ 같은 처리 근거를 보다 유연하게 적용해야 합니다. 기업이 예측 가능한 범위 내에서 안전하게 데이터를 쓰고, 대신 사후적으로 정보주체가 자신의 데이터가 어떻게 쓰였는지 확인하고 거부할 수 있는 실질적 통제권을 보장하는 방향으로 법을 재설계해야 합니다.

아울러 공개된 정보의 AI 학습 활용에 대한 명확한 법적 근거와 세부 기준을 마련해야 합니다. 합법적으로 접근 가능한 공개 정보는 AI 경쟁력의 핵심 원천입니다. 이를 활용할 때마다 저작권이나 프라이버시 침해를 우려해 주저하게 된다면 우리는 글로벌 기술 경쟁에서 도태될 것입니다. 일정한 안전장치를 전제로 공정이용 관점에서 과감한 면책 제도를 도입해야 합니다. 대신 개인 식별 위험을 낮추는 가명처리 기술(PET) 적용을 의무화하여 ‘보호와 혁신’의 균형을 잡아야 합니다.

(지난해 개인정보보호법학회는 인공지능 3대 강국 도약을 위한 데이터법제의 혁신을 주제로 더팩트와 손잡고 기획칼럼을 연재한 바 있다)

- 최근 부각되는 AI 에이전트 환경에서의 프라이버시 리스크 문제는 어떻게 보십니까.

AI가 스스로 판단하고 행동하는 에이전트 시대에는 프라이버시 리스크가 ‘데이터 학습’을 넘어 ‘서비스 운영’ 단계로 전이됩니다. 에이전트가 사용자의 일상을 장기 기억하고 이를 바탕으로 초개인화된 프로파일링을 수행할 때 발생하는 인권 침해는 매우 심각할 수 있습니다. 에이전트가 사용자를 대신해 결제하거나 메일을 보내는 등 외부 도구와 상호작용할 때 의도치 않은 ‘데이터 유출’이나 ‘간접적 프롬프트 주입’ 공격에 노출될 수 있습니다.

이제는 개인 통제 중심 모델만으로는 한계가 명확합니다. 설계단계부터 유출 가능성을 미리 차단하는 ‘Privacy by Design(설계 단계부터의 프라이버시 보호)’을 강화함과 아울러 에이전트의 행동을 실시간으로 감시하는 ‘기술적 안전장치(PET)’의 제도화도 논의해야 합니다. 또한 에이전트 간 데이터 전달 시 전달되는 정보의 가시성을 확보하는 표준 규약(Protocol)을 마련하여, 기술이 인간의 통제를 벗어나지 않도록 가이드레일을 정교하게 설계해야 합니다.

-개인정보보호위원회가 향후 어떤 역할을 수행해야 한다고 보십니까?

개인정보보호위원회는 이제 단순한 조사·심판 기관을 넘어 ‘디지털 전환의 신뢰 설계자’로 거듭나야 합니다. 규제는 혁신의 브레이크가 아니라 더 빨리 달리기 위한 안전벨트와 같습니다. 개보위는 기술 발전에 부합하는 정교한 판단 기준을 정립하여 기업들이 경영 리스크를 예측할 수 있게 해야 합니다.

개인정보는 이제 국가 간 통상과 안보의 문제로 확대되고 있습니다. 유럽의 GDPR이나 미국의 소비자 보호 모델 사이에서 균형 잡힌 AI 데이터 거버넌스를 구축하고, 이를 국제 표준으로 제안할 수 있는 전문성과 리더쉽을 갖춰야 합니다. 또한 개인정보보호기금 신설 등을 통해 제재금이 다시 국민의 안전과 산업의 토양으로 환류되는 선순환 구조를 완성하는 정책적 리더십을 보여주기를 기대합니다.

skp2002@tf.co.kr

Copyright@더팩트(tf.co.kr) All right reserved.