개인정보 유출은 기업의 ‘사고’가 아니라 공동체의 ‘위험’이다

2026-01-29     윤장렬 칼럼·독자위원
<strong>윤장렬</strong><br>베를린

개인정보 유출 소식은 이제 놀랍지도 않다. 해킹, 관리 부실, 내부자 유출, 외주·공급망 공격 등 원인은 매번 다르지만 결과는 같다. 수백만 명의 이름과 주소, 연락처, 주민등록번호가 유출되고, 그 정보는 보이스피싱과 금융 사기, 신원 도용으로 되돌아온다. 피해는 개별 시민의 삶을 직접 위협하고, 사회 전체의 신뢰를 잠식한다.

지난해 국내에서 발생한 주요 사례만 보더라도 상황은 분명하다. LG유플러스는 대규모 고객 정보 유출로 역대급 과징금을 부과받았고, 인터파크, 쿠팡, SK텔레콤 역시 개인정보 침해 사건을 겪었다. 업종도, 사고 경로도 달랐지만 공통점은 하나다. 기업 내부에서 관리되던 데이터가 사회 전체의 위험으로 전이됐다는 점이다.

그럼에도 불구하고 우리의 대응은 늘 비슷하다. 과징금을 부과하고, 재발 방지 대책을 약속하고, 일정 시간이 지나면 사건은 잊힌다. 개인정보보호법은 작동하는 것처럼 보이지만, 사고는 반복된다. 이 지점에서 묻지 않을 수 없다. 문제는 정말로 ‘관리의 미흡’일 뿐일까.

현재 개인정보보호법의 지배적 이해는 개인정보를 개인의 권리이자 기업의 관리 대상, 즉 합법적 영업 활동의 부산물로 취급한다. 법은 기업의 재산권과 영업의 자유를 전제로 하되, 그 과정에서 침해가 발생하지 않도록 일정한 의무를 부과한다. 이 틀 안에서 개인정보 유출은 개별 기업의 보안 실패, 내부 통제의 문제로 환원된다.

그러나 오늘날 대규모 개인정보는 더 이상 단순한 고객 정보가 아니다. 금융·통신·소비·이동 정보가 결합된 데이터는 범죄에 악용될 경우 개인의 안전과 재산은 물론 사회 전체의 안정성까지 위협한다. 그럼에도 법은 여전히 개인정보를 사적 자산 관리의 문제로만 다루고 있다.

여기서 우리는 2008~2009년 글로벌 금융위기의 교훈을 떠올릴 필요가 있다. 리먼브라더스의 파산은 한 기업의 실패가 아니었다. 복잡한 금융상품과 위험 구조가 영업비밀과 재산권이라는 이름으로 봉인되면서, 사회는 위험을 사전에 인식하지 못했고, 결국 공동체 전체가 대가를 치렀다. 과도한 영업비밀 보호와 사적 재산권의 절대화가 시스템 전체의 위기를 키운 대표적 사례였다.

이 사건 이후 독일을 비롯한 유럽의 헌법학자들은 재산권에 대한 재해석을 본격화했다. 재산권은 무제한적으로 보호되어야 할 자연권이 아니라, 공동체의 안정과 평화를 전제로 조건부로 보장되는 제도적 권리라는 인식이 확산됐다. 독일 기본법의 “재산권은 의무를 수반한다(Eigentum verpflichtet)”는 문장은 더 이상 추상적 선언이 아니었다.

이 논리는 개인정보보호법에도 그대로 적용될 수 있다. 오늘날 기업이 보유한 대규모 개인정보는 사적 자산이라기보다 사회적 위험을 내포한 인프라에 가깝다. 한 기업의 데이터 관리 실패는 곧바로 금융 사기, 범죄 증가, 사회적 불신으로 이어진다. 그 피해는 특정 기업이 아니라 시민과 국가 공동체가 함께 부담한다.

그렇다면 개인정보 유출을 언제까지 개별 기업의 사고로만 다룰 것인가. 반복되는 대형 유출은 우연이 아니라, 데이터의 대량 축적과 집중을 허용해 온 제도적 선택의 결과다. 이 점에서 개인정보 침해는 더 이상 사적 영역의 문제가 아니라 공공 안전과 공동체 안정의 문제다.

이제 개인정보보호법에 대한 법철학적 재해석이 필요하다. 개인정보 보호의 목적은 기업 활동과의 ‘조화’에 앞서, 사회 전체의 위험을 최소화하는 데 있어야 한다. 이는 기업의 영업을 부정하자는 주장이 아니다. 다만 데이터가 만들어내는 위험의 규모에 상응하는 공적 책임과 공적 통제 원리가 필요하다는 뜻이다.

지금의 법은 사고 이후의 책임을 묻는 데는 익숙하지만, 사고 이전에 “이 정도 규모의 데이터 축적이 과연 정당한가”, “그 위험을 사회가 감내해야 할 이유는 무엇인가”라는 질문에는 침묵한다. 개인정보를 ‘누가 소유하는가’의 문제가 아니라, ‘그 위험을 누가, 어떤 원칙으로 부담할 것인가’의 문제로 바꿔 물어야 할 시점이다.

개인정보 유출은 예외적인 사건이 아니다. 그것은 우리가 선택해 온 데이터 중심 경제가 만들어낸 구조적 위험의 징후다. 개인정보보호법에 대한 법철학적 재해석은 선택이 아니라 필수다. 개인의 권리를 지키는 동시에, 공동체의 안전과 신뢰를 지키기 위한 최소한의 출발점이기 때문이다.