정부가 야심 차게 내세운 창업 지원 사업에서 수천 명의 개인정보와 창업 아이디어가 통째로 유출됐다. 그런데 이 사고에 부과될 과징금이 ‘수억 원’에 그칠 것이라는 전망이 나왔다.
국민의힘 이양수 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면, 2021년 이후 공공기관에 부과된 최대 과징금은 올해 1월 한국연구재단의 7억300만 원이다. 반면 같은 기간 쿠팡에는 6,247억 원, SK텔레콤에는 1,347억 원이 부과됐다. 같은 법 아래 무려 수백 배의 격차다.
아이디어까지 샌 ‘예견된 참사’
중소벤처기업부 산하 창업진흥원이 운영하는 ‘모두의 창업’은 아이디어만 있으면 누구나 참여할 수 있는 ‘전 국민 창업 오디션’ 형식의 공공 지원사업이다. 지난 6월 15일 오전, 1차 합격자 약 5,000명의 이메일 주소와 창업 아이디어 요약, 심사평 등이 외부로 유출됐다.
단순 연락처 노출이 아니라 참가자의 핵심 경쟁정보인 ‘아이디어 자산’까지 새어나갔다는 점에서 사안의 심각성이 크다. 더욱이 창진원은 사고 인지 후 약 70시간이 지나서야 개인정보보호위원회에 신고해 ‘뒷북 대응’ 논란까지 불거졌다.
이미 예견 가능한 위험이었다는 지적도 나온다. 창진원은 전년도 정보보안 감사에서 관리자 접근통제 미흡, 중요 파일 암호 설정 미흡 등 15개 항목이 지적됐으나, 사고 시점까지 7개 항목이 미개선 상태로 방치돼 있었다.
‘매출의 3%’ vs ‘상한 20억’…구조적 이중잣대
이번 사건의 핵심 쟁점은 과징금의 형평성이다. 개인정보보호법은 기업에 대해 전체 매출액의 최대 3%를 과징금으로 부과할 수 있도록 규정한다. 그러나 매출이 없는 공공기관에는 상한을 ‘최대 20억 원’으로 별도 규정해 놓았다.
이 구조 때문에 피해 규모나 기관 크기와 무관하게 공공기관 과징금은 구조적으로 낮을 수밖에 없다. 한국연구재단은 12만 명의 개인정보가 유출됐음에도 7억 원대에 그쳤고, 행정안전부는 이번 사건과 비슷한 약 5,000명 규모의 유출로 2억7,300만 원 처분을 받았다. 이 사례가 ‘모두의 창업’ 과징금 전망의 비교 기준이 되고 있다.
이양수 의원은 “사기업에 비해 공공기관의 과징금이 턱없이 낮다”며 “철저한 보안 대책과 이에 상응하는 과징금 처벌이 반드시 이뤄져야 한다”고 강조했다.
제도 손질 없이는 반복될 ‘보안 불감증’
전문가들은 현행 20억 원 상한이 실질적인 억제력을 갖지 못한다고 지적한다. 대형 사고가 나도 수억 원으로 마무리되는 구조에서는 공공기관이 보안에 적극 투자할 유인 자체가 약하다는 것이다.
이번 사건을 계기로 공공기관 과징금 상한을 높이거나, 예산 규모를 기준으로 삼는 새로운 산정 방식을 도입해야 한다는 논의가 정치권과 전문가 사이에서 본격화되고 있다. 나아가 정부 사업에 참여하는 민간 AI·클라우드 업체에 대한 보안 인증 및 개인정보 처리 위탁 감독 강화 필요성도 함께 제기된다.
‘모두의 창업’ 사태는 공공 부문의 개인정보 보호 제도가 얼마나 실효성 있게 작동하는지를 가늠하는 시험대가 됐다. 예견된 취약점을 방치하고, 사고 후에는 낮은 과징금으로 마무리되는 악순환을 끊지 않는 한, 국민의 개인정보와 창업 아이디어는 언제든 다시 위험에 노출될 수 있다.
