기업 개인정보 유출 과징금 기준, 락앤락 사례로 본 최대 처벌 수위와 대응 전략

락앤락 같은 대규모 개인정보 유출 사고가 터지면 기업은 개인정보보호법에 따라 관련 매출액의 최대 3%에 달하는 과징금을 물 수 있다. 이는 민사상 징벌적 손해배상이나 형사처벌과는 별개로 부과된다. 특히 보안 관리 부실이 입증되면 과징금 외에도 과태료 부과와 홈페이지 공표 명령 같은 행정 처분이 뒤따라 브랜드 이미지에 치명적인 타격을 입는다.

락앤락 개인정보 유출 사건의 경위와 보안 취약점 분석

2026년 7월 9일 개인정보보호위원회 전체회의 결과, 락앤락은 약 130만 명의 회원 개인정보를 유출해 과징금 5억 3천만 원과 과태료 540만 원을 부과받았으며, 홈페이지에 이 사실을 공표하라는 명령을 받았다. 이번 사건은 단순 해킹을 넘어 기업의 기초적인 보안 관리 체계가 무너져 있었음을 보여주는 전형적인 사례다.

유출 경로를 보면 2024년 4월 공격자가 메일 서버의 공개 취약점을 이용해 내부 시스템에 처음 침입했다. 이후 2024년 5월 회원 DB가 최종 유출됐다. 조사 결과 락앤락은 기본 방화벽조차 설치하지 않았고, 여러 시스템에 동일한 관리자 비밀번호를 쓰는 등 보안 관리가 엉망이었다. 기술 실무자 관점으로 보면 가장 기초적인 접근 제어와 계정 관리 원칙을 어긴 셈이다.

외부 유출뿐 아니라 내부 데이터 관리 소홀도 함께 발견됐다. 임직원 개인정보와 이미 폐점한 매장의 구매자 정보 약 4만 9,466건을 법적 보존 기간이 지났는데도 파기하지 않고 남겨두었다. 이는 ‘목적 달성 후 즉시 파기’라는 개인정보보호법의 기본 원칙을 위반한 것이며, 과징금 산정 시 가중 처벌 근거가 됐다.

기업 개인정보 유출 과징금 기준과 법적 산정 방식

현행 개인정보보호법의 기업 개인정보 유출 과징금 기준은 매우 엄격하다. 기본적으로 관련 매출액(해당 연도 또는 직전 3개 연도 평균)의 최대 3%까지 부과하도록 규정한다. 여기서 관련 매출액은 유출과 직접 연관된 사업 부문 매출을 뜻하지만, 산정 범위에 따라 기업에는 막대한 재무적 부담이 된다. 특히 국회에서 논의 중인 개정안이 통과되면 이 상한선이 최대 10%까지 늘어날 수 있다. 매출 40조 원 규모의 거대 플랫폼 기업이라면 최대 4조 원이라는 천문학적인 과징금을 낼 수 있는 구조다.

실제 선례를 보면 과징금 규모는 기업 크기와 유출 정도에 따라 차이가 크다. 과거 SKT는 1,348억 원이라는 고액 과징금을 물었는데, 이는 매출 대비 비율 산정 방식이 실질적으로 적용된 사례다. 락앤락은 유베이스, 썬포토를 포함해 총 7억 1천만 원의 과징금과 540만 원의 과태료를 부과받았으며, 이는 유출 규모와 보안 부실 정도를 종합적으로 고려한 수치다.

구분 현행 기준 개정 및 확대 방향 비고
과징금 상한 관련 매출액의 최대 3% 관련 매출액의 최대 10% 매출 40조 기준 최대 4조 원 가능
민사 책임 손해배상 책임 징벌적 손해배상 (최대 5배) 1인당 위자료 최대 5배 청구 가능
형사 처벌 책임자 처벌 업무상 과실 및 배임 검토 관리자 및 임원 2년 이하 징역 가능

행정 처분을 넘어선 징벌적 손해배상과 형사적 책임

기업이 가장 경계해야 할 점은 행정 기관의 과징금이 끝이 아니라는 것이다. 개인정보보호법에 도입된 징벌적 손해배상 제도는 민사적 책임 규모를 크게 키운다. 피해자는 1인당 위자료를 최대 5배까지 청구할 수 있다. 예를 들어 위자료 기준액이 10만 원일 때 징벌적 배상이 적용되면 1인당 최대 50만 원까지 지급해야 한다. 유출 건수가 3,400만 건에 달하는 대형 사고라면 단순 계산만으로도 조 단위의 손해배상 청구가 가능해져 기업 존립 자체가 위태로워진다.

형사적 책임도 무겁다. 개인정보 보호 책임자(CPO)나 담당 관리자, 경영진(임원)은 관리 소홀로 2년 이하의 징역형을 살 수 있다. 단순 과실을 넘어 업무상 과실이나 배임 혐의가 인정되면 처벌 수위는 더 높아진다. 보안 실무자가 기술적 조치를 넘어 법적 증거력을 갖춘 보안 통제 기록을 남겨야 하는 이유다.

보안 사고 재발 방지를 위한 실무적 안전성 확보 조치

과징금 폭탄을 피하려면 개인정보보호법이 요구하는 ‘안전성 확보 조치’를 실무 수준에서 철저히 이행해야 한다. 락앤락 사례의 취약점을 반면교사 삼아 다음과 같은 대응 체계를 구축해야 한다.

  1. 외부 접점 취약점 관리와 망 분리: 메일 서버 등 외부 노출 서비스의 공개 취약점을 주기적으로 점검하고 패치한다. 내부 시스템 침입을 막기 위해 물리적 또는 논리적 망 분리를 적용하고, 방화벽 및 침입탐지시스템(IDS/IPS)을 운영해 비정상 트래픽을 실시간으로 차단한다.
  2. 계정 및 권한 관리 통제: 동일한 관리자 비밀번호를 여러 시스템에 사용하는 관행을 끊어야 한다. 다요소 인증(MFA)을 도입해 계정을 탈취당해도 내부 시스템 접근이 불가능하도록 설정하고, 최소 권한 원칙(Principle of Least Privilege)을 적용해 DB 접근 권한을 엄격히 제한한다.
  3. 데이터 라이프사이클 관리 및 파기 자동화: 개인정보 수집부터 파기까지의 생애주기를 정의하고, 보존 기간이 만료된 데이터는 즉시 삭제하는 자동화 프로세스를 만든다. 락앤락 사례처럼 폐점 매장 정보나 임직원 정보를 누락 없이 파기했음을 증빙할 파기 확인서와 로그 기록 보관은 필수다.

리스크 관리 제언

기업 개인정보 유출 사고는 단순한 기술적 장애가 아니라 경영상의 치명적인 리스크다. 과징금은 매출액의 최대 3%(개정 시 10%)라는 높은 비율로 산정되며, 여기에 징벌적 손해배상과 형사처벌이 더해지면 회복 불가능한 타격을 입는다. 특히 락앤락 사례처럼 기본적인 보안 수칙 미준수가 드러나면 법적 처벌뿐 아니라 사회적 책임 방기에 대한 비판으로 브랜드 가치가 급락한다.

CPO와 보안 실무자는 법적 방어 논리를 세우기보다 실효성 있는 보안 통제 체계를 수립하고 투명하게 운영하는 데 집중해야 한다. 또한 예상치 못한 사고에 대비해 자체 손해배상 기준을 마련하고, 사이버 보안 보험 같은 리스크 분산 전략을 선제적으로 검토하자. 지금 바로 기업의 데이터 파기 현황과 관리자 계정 보안 설정을 점검해 잠재적 과징금 리스크를 제거해야 한다.

댓글 남기기