들어가며: 데이터 늪의 문턱
한국의 건강기능식품 시장은 눈부시게 성장하고 있습니다. 연평균 10% 이상 성장하며 비타민, 단백질 보충제가 소비자 손에 쥐어질 때마다 데이터가 쌓이고 있습니다. 그러나 이 데이터는 보물이 아니라 늪이 될 수 있습니다. 개인정보보호법(PIPA)은 기본 방어막을 자처하지만, 그 그물은 너무 느슨합니다. 2022년 인터파크에서 230만 명의 개인정보가 유출되었을 때, 법은 손바닥 때리기 수준의 처벌로 끝냈습니다. 유럽의 REWE는 비슷한 데이터 오용으로 800만 유로 벌금을 맞았는데, 우리는 왜 이렇게 관대할까요? 법의 허점이 기업을 방심하게 하고, 소비자를 늪에 빠뜨리고 있는 현실을 이제는 직시할 때입니다.
느슨한 그물의 실체: PIPA의 구멍
PIPA는 2011년 제정 이후 여러 차례 개정되었지만, 여전히 데이터 늪을 막기엔 역부족입니다.
첫째, 건강 데이터에 대한 구체적 정의가 없습니다. 건강기능식품 구매 기록은 식이 습관과 건강 상태를 드러냅니다. 예를 들어, 오메가-3를 산 소비자는 심혈관 고민이, 단백질 보충제를 고른 이는 운동 습관이 엿보일 수 있습니다. 유럽의 GDPR은 이를 ‘특별 범주 데이터’로 분류해 명시적 동의를 요구합니다. 하지만 PIPA는 이런 민감성을 간과합니다. 건강 데이터가 일반 정보처럼 취급되니, 기업은 이를 멋대로 활용할 유혹에 빠질 수 있습니다.
둘째, 제재가 약합니다. PIPA의 벌금 상한은 5억 원입니다. 2023년 매출 1조 원 기업이 데이터를 오용해도 5억 원이면 끝납니다. 반면 GDPR은 매출 4%나 2천만 유로 중 큰 금액을 부과합니다. 1조 원 매출 기업이라면 400억 원을 물어야 합니다. PIPC(개인정보보호위원회)가 2023년 메타에 1567만 달러(약 210억 원) 벌금을 부과한 건 강력했지만, 이는 해외 기업에 한정된 예외입니다. 국내 기업엔 관대함이 이어집니다.
셋째, 동의 없는 활용에 대한 규제가 모호합니다. PIPA는 동의를 요구하지만, 건강 데이터처럼 민감한 정보에 별도 기준이 없습니다. 2022년 한 건강기능식품 업체는 고객의 구매 데이터를 소비자 동의 없이 마케팅에 활용했습니다. 예를 들어, 다이어트 보조제를 구매한 고객 정보를 광고주에게 넘겼지만, 법적 처벌은 경고에 그쳤습니다. 소비자들은 자신의 데이터가 어디로 갔는지, 누가 활용했는지 전혀 알지 못했습니다. 이런 허술함은 기업의 경각심을 떨어뜨리고, 데이터 늪을 더 깊게 파는 원인이 됩니다.
인터파크의 경고: 법의 무력한 손길
2022년 5월, 인터파크는 해커의 공격으로 230만 명의 개인정보가 유출되었습니다. 이름, 주소, 전화번호뿐 아니라 건강기능식품 구매 이력(예: 비타민 C, 프로바이오틱스 등)이 포함된 이 데이터는 다크웹에서 불법 거래되었습니다. 피해자들은 신분 도용으로 금융 사기를 당하고, 스팸 전화와 문자에 시달렸습니다. 한 피해자는 “내가 산 비타민 때문에 사기 전화를 받았다”며 분통을 터뜨렸습니다. 그러나 PIPA는 이 재앙을 막지 못했습니다.
인터파크의 데이터베이스는 암호화조차 안 된 허술한 상태였습니다. PIPC는 조사 끝에 2억 원 벌금과 5천만 원 과징금을 부과했지만, 2021년 매출 1조 3천억 원(추정)을 기록한 인터파크엔 찰과상 수준입니다. PIPCD은 “강력히 대응하겠다”며 성명을 냈지만, 이는 사후 약속에 불과했습니다. 인터파크는 유출 후 일주일이 지나서야 소비자에게 알렸고, 피해 복구는 “비밀번호 변경” 권고로 끝났습니다. 신분 도용 방지나 보상책은 없었습니다. 이 사건은 PIPA의 구멍을 적나라하게 드러냅니다. 건강 데이터가 포함된 유출은 단순한 개인정보 침해가 아닙니다. 소비자의 건강과 삶이 노출된 재앙입니다. 그런데도 법은 무력하게 손을 놓고 있습니다.
건강 데이터의 위험: 늪 속의 독
건강기능식품 시장은 데이터의 보고입니다. 2023년 기준, 한국 건강기능식품 시장 규모는 6조 원을 넘었습니다. 이 과정에서 쌓인 데이터는 기업에겐 금광입니다. 하지만 법이 느슨하면 이 금광은 독이 될 수 있습니다. 예를 들어, 한 중소기업은 고객의 다이어트 보조제 구매 기록을 제3자에게 팔았습니다. 소비자는 모르는 사이 건강 고민이 거래 대상이 되었습니다.
해커도 이 늪을 노립니다. 건강 데이터는 다크웹에서 1건당 5만 원 이상에 거래되고 있습니다. 10만 명 데이터의 유출은 50억 원의 가치입니다. PIPA의 약한 제재는 이런 범죄를 억제하지 못합니다. 소비자 신뢰가 무너지면 시장 성장도 멈춥니다. 법의 그물이 느슨한 지금, 기업은 방심하고, 소비자는 위험에 내몰리게 됩니다.
대안의 첫걸음: 법의 칼날을 세우자
PIPA의 느슨한 그물을 단단히 짜야 합니다.
첫째, 건강 데이터를 별도 범주로 지정해야 합니다. 구매 이력, 건강 설문 등 민감 정보는 명시적 동의를 법으로 강제해야 합니다. 예: “당신의 비타민 데이터는 마케팅에 쓰입니다. 동의합니까?”
둘째, 벌금을 강화해야 합니다. 매출 4% 상한을 도입하면, 1조 원 매출 기업은 400억 원을 물어야 합니다. 이는 방심을 깨는 칼날입니다.
셋째, PIPC에 건강 데이터 전담 감독관 확보가 필요합니다. 연 4회 기업 점검과 위반 시 즉각 제재로 집행력을 높여야 합니다. 인터파크 같은 유출이 반복되지 않으려면, 법이 앞장서야 합니다.
맺으며: 늪의 문턱에서
PIPA의 느슨한 그물은 데이터 늪의 시작입니다. 건강 데이터는 소비자의 삶을 담고 있습니다. 이를 지키지 못하면, 기업도, 시장도 늪에 잠길 수 있습니다. 인터파크의 230만 피해는 경고입니다. 법을 단단히 하고, 제재를 세워야 소비자는 안심하고, 기업은 성장합니다. 다음 회차에서는 보안의 허점을 파헤치도록 하겠습니다. 늪의 문턱에서 깨어나는 건 우리의 몫입니다.
법무법인 비트는 건강기능식품 산업과 데이터 보호 분야에 대한 깊은 이해를 바탕으로, 민감정보에 해당하는 건강 데이터를 둘러싼 법적 쟁점에 체계적으로 대응해 왔습니다. 특히 개인정보보호법(PIPA)의 구조와 한계를 면밀히 분석하고, 인터파크 사례 등 실제 유출 사건에서 드러난 규제의 취약점을 기준으로 기업의 리스크를 진단해 왔습니다. 개인정보 유출 사건 위기대응 및 행정처분에 대한 대응업무, 수천 건의 개인정보를 유출된 사건과 관련하여 정부기관 현장점검 등 전반적인 법적 대응을 제공하는 등 개인정보유출에 대한 전문적인 법률 자문을 제공하고 있습니다.
Leave a Comment