역대 최대 제재에도 반복되는 참사…예산 70% 외주 맡기고 조사 인력은 31명뿐
"소송 예산 바닥, 기술 인력 전무" 구조적 한계 속 형식적 대응 논란 개인정보보호위원회 인터넷 공지

 [프랜사이트 = 특별취재팀]

1,347억원. 지난 8월 27일 개인정보보호위원회(이하 개보위)가 SK텔레콤(SKT)에 내린 과징금 규모다. 개보위 출범 이후 단일 사업자에 부과한 최대 제재 금액이자, 개인정보 보호 역사에 한 획을 그은 숫자로 기록됐다. 하지만 화려한 제재 액수 뒤편에는 씁쓸한 현실이 도사리고 있다. 정작 개보위는 이 '역대급 사건'을 제대로 조사하고, 재발을 막고, 피해자를 구제할 만한 예산도, 인력도, 시스템도 갖추지 못한 채 '보여주기식 제재'에 급급했다는 비판이 쏟아지고 있다.

제재는 요란했지만, 실체는 텅 비었다

개보위는 SKT의 안전조치 의무 위반과 72시간 내 유출 통지 지연을 근거로 과징금과 과태료를 부과했다. 발표문은 단호했고, 언론은 '역대 최대'를 강조했다. 그러나 정작 중요한 질문—개보위가 이 사건을 얼마나 '제대로' 조사했는가, 앞으로 유사 사고를 '실질적으로' 막을 수 있는가—에는 답이 없다.

문제의 핵심은 개보위의 구조적 무능이다. 2024년 예산자료에 따르면 개보위 편성 사업예산의 2025년 예산 자료에 따르면, 개보위 편성 예산의 무려 80% 이상이 한국인터넷진흥원(KISA) 등 외부기관 출연으로 흘러간다. 직접 집행 비중은 20% 대에 불과하다. 이는 개보위가 사실상 '정책 기획 사무국' 수준에 머물러 있으며, 실제 사고 조사와 포렌식, 기술 분석은 전부 외주에 의존하고 있다는 뜻이다. 국회와 언론이 수년간 지적해 온 문제지만, 바뀐 것은 없다.

더 충격적인 것은 인력이다. 개보위의 실제 사고조사 인력은 31명에 불과한 것으로 파악된다. SKT급 대형 사고가 터지면 이 인력 대부분이 해당 사건에 매달려야 하고, 동시다발적으로 발생하는 다른 침해 사고들은 방치될 수밖에 없는 구조다. 디지털 포렌식 전문가, 네트워크 보안 엔지니어, AI 알고리즘 분석가 같은 고도 기술 인력은 전무하다시피 하다. 결국 개보위는 '제재를 발표하는 기관'일 뿐, '침해를 막고 원인을 파헤치는 기관'은 아닌 셈이다.

소송 예산 바닥, 대기업 앞에선 '종이호랑이'

형식적 대응의 민낯은 법정에서 더욱 적나라하게 드러난다. 개보위가 올해 확보한 소송 예산은 고작 4억 2천만 원. 이미 바닥을 드러낸 것으로 알려졌다. 반면 SKT 같은 대기업은 국내 최고 수준의 법무법인을 동원해 과징금 처분에 불복 소송을 제기한다. 개보위는 외부 법률 대리인조차 제대로 선임하지 못한 채, 소수의 내부 변호사가 대응하는 형편이다.

결과는 뻔하다. 법리 공방에서 밀리고, 처분 일부가 취소되거나 감경되면서 개보위의 권위는 추락한다. 과징금이 '역대 최대'라 해도, 법원에서 절반으로 깎이면 그 의미는 반감된다. 더 심각한 것은, 이런 패배가 반복되면 대기업들은 아예 개보위의 제재를 '소송 전략 비용'으로 계산하기 시작한다는 점이다. 개보위의 과징금은 더 이상 '경고'가 아니라 '협상 테이블 위의 숫자'가 되어버린다.

예산 늘려봤자 'KISA 퍼주기'만 반복

그렇다면 예산을 늘리면 해결될까? 현실은 더 암울하다. 2025년 예산안은 646억원으로 9.1% 증액됐다. 표면상 개선처럼 보이지만, 예산 집행 구조 자체가 바뀌지 않으면 아무 소용없다. 증액된 예산 역시 KISA 출연 중심으로 편성되면, 개보위 내부의 직접 수행 역량은 여전히 제자리다.

문제는 단순한 예산 규모가 아니라 예산 사용처다. 상시 포렌식 인프라 구축, 위협헌팅 시스템 운영, 사전 점검 인력 확보 같은 '내부 역량 투자'는 뒷전이고, 사고가 터질 때마다 외부 용역을 발주하는 구조가 반복된다. 이는 곧 전문성 축적 불가와 초동 대응 지연이라는 악순환으로 이어진다. SKT 사건에서 드러난 '72시간 통지 지연' 문제도, 결국 개보위가 실시간 모니터링과 신속 대응 체계를 갖추지 못한 탓이다.

조직 구성도 엉망: '사후 제재'만 하는 공룡

개보위의 조직 구성 역시 시대착오적이다. 전체 정원 170여 명 중 대다수는 행정·기획·홍보 등 지원 부서에 배치되어 있고, 정작 조사·기술 분석·법률 대응 같은 핵심 규제 기능 인력은 극소수다. AI 시대, 랜섬웨어와 APT(지능형지속위협) 공격이 일상화된 시대에, 개보위는 여전히 '사고 후 서류 검토'에 머물러 있다.

구조적으로 사후 제재 중심이다 보니, 사전 예방과 피해 구제는 유명무실하다. SKT 사건 이후에야 뒷북 조사를 시작하고, 몇 달 뒤 과징금을 부과하는 것이 전부다. 피해자들은 통지조차 제때 받지 못한 채 방치되고, 분쟁 조정과 집단 구제 절차는 병목에 걸려 몇 년씩 끌린다. 이것이 '개인정보 보호'의 현주소다.

더욱이 독립성도 의심받는다. 예산과 인사가 기획재정부와 행정안전부의 통제를 받는 상황에서, 정부 산하 공기업이나 대기업에 대한 강도 높은 규제는 사실상 불가능하다. '독립 규제기관'이라는 이름이 무색할 지경이다.

필요한 건 쇼가 아닌 '체질 개선'

해법은 명확하다. 첫째, 예산 구조를 뜯어고쳐야 한다. 외부 출연 비중을 3개년 로드맵으로 단계적으로 50% 이하로 축소하고, 직접 집행 예산을 확대해 내부 포렌식·조사 인프라를 구축해야 한다. 대규모 유출 사고 발생 시 즉시 투입할 수 있는 '사고대응 특별계정'을 신설하고, 과징금 일부를 재원으로 활용하는 법 개정도 검토해야 한다.

둘째, 조직을 전면 재설계해야 한다. '사고대응국(Incident Response Bureau)'을 신설하고, 산하에 24시간 가동되는 디지털 포렌식랩, 위협인텔·헌팅팀, 기술자문 셀을 두어야 한다. 조사 인력을 현재의 2배로 확대하고, 디지털 포렌식·암호화·AI 보안 분야의 전문가를 시장가 보상체계로 상시 채용해야 한다. 행정 지원 부서는 과감히 통폐합하고, 절감된 인력과 예산을 핵심 규제 기능에 집중해야 한다.

셋째, 통지와 공개를 제도화해야 한다. '24시간 내 1차 위험 고지 → 72시간 내 상세 통지'라는 투명성 기본선을 확립하고, 미준수 시 행정벌을 가중해야 한다. SKT 사건에서 드러난 통지 지연 문제가 재발하지 않도록, 강제성 있는 표준운영절차(SOP)를 법제화해야 한다.

마지막으로, 독립성을 확보해야 한다. 예산 편성권과 인사권을 독립시켜, 정부와 대기업의 눈치를 보지 않고 규제할 수 있는 구조를 만들어야 한다. 소송 예산을 대폭 확충하고, 법률 전문 인력을 충원해 '지는 싸움'이 아닌 '이기는 규제'를 해야 한다.

국민은 '쇼'가 아니라 '보호'를 원한다

SKT 사건은 끝나지 않았다. 수천만 명의 개인정보가 유출되었고, 피해는 현재진행형이다. 그러나 개보위는 여전히 보도자료와 과징금 숫자로 국민을 안심시키려 한다. 형식적인 대응, 외주 의존, 소송 패배, 조직 비대화—이 모든 문제가 방치된 채, '역대 최대 제재'라는 허울만 요란하다.

국민이 원하는 것은 화려한 제재 발표가 아니다. 사고가 나기 전에 막고, 사고가 나면 신속히 조사하고, 피해자를 즉시 구제하는 실질적인 보호다. 개보위가 진정한 '컨트롤 타워'가 되려면, 더 이상 쇼를 할 것이 아니라 뼈를 깎는 혁신에 나서야 한다. 예산과 조직 개편이라는 숙제를 더 미루면, 다음 참사는 이미 예정된 수순이다.

지금 개보위에게 필요한 것은 칼이다. 무딘 칼이 아니라, 날 선 칼.

[ⓒ 프랜사이트 (FranSight). 무단전재-재배포 금지]