뉴스를 보면 헷갈리실 거예요. SK텔레콤은 1,347억 원이라는 역대급 과징금을 받았는데, 유사한 개인정보 유출을 겪은 롯데카드는 50억 원 수준에 그쳤습니다. “왜 이렇게 차이가 클까?”라는 의문이 드는 게 당연합니다. 사실 이 격차에는 단순한 ‘기업 차별’이 아닌 법과 제도의 공식적인 기준이 숨어 있습니다. 오늘은 이 주의사항과 제도적 함정을 풀어보겠습니다.
📊 과징금 산정 공식, 매출 규모가 결정적
개인정보보호위원회가 과징금을 산정할 때는 기업의 전년도 매출액의 일정 비율을 기준으로 합니다.
- SKT는 연 매출이 20조 원을 넘는 초대형 통신사 → 과징금 비율을 적용하면 금액 자체가 커질 수밖에 없습니다.
- 롯데카드는 매출 규모가 상대적으로 작아, 같은 비율을 적용해도 과징금 액수는 훨씬 적습니다.
👉 즉, “같은 해킹인데 왜 금액 차이?”라는 의문은 사실상 기업 규모가 반영된 결과라는 점을 알아야 합니다.
🗂️ 유출된 데이터의 ‘민감도’ 차이
과징금 산정에서 어떤 데이터가 유출됐는가도 중요한 요소예요.
- 주민등록번호, 금융정보, 통신이용기록처럼 민감하고 재사용 위험이 큰 정보가 유출되면 더 큰 과징금으로 이어집니다.
- 단순 이름·이메일 수준의 유출은 상대적으로 낮은 평가를 받습니다.
👉 SKT 건은 고객 통신기록까지 포함된 대규모 유출이 문제였고, 롯데카드는 카드번호 중심 유출이라 규제 강도가 달라졌습니다.
🕵️♂️ 기업의 ‘관리 소홀’ 정도
법에서 과징금을 정할 때 가장 크게 보는 건 해킹 자체보다, 사전 관리 소홀입니다.
- 보안 시스템 미비, 취약점 방치, 반복된 사고 → 가중처벌
- 사고 직후 신속한 대응, 피해자 통지, 재발 방지 조치 → 감경 요소
👉 SKT 사례에서는 “사전에 취약점이 충분히 알려졌는데도 적절히 대응하지 않았다”는 점이 강조됐고, 과징금이 커진 이유가 됐습니다. 반면 롯데카드는 신속한 대응과 보상 절차에서 감경 요소가 반영됐습니다.
📌 소비자가 알아야 할 주의사항
이쯤 되면 소비자 입장에서 헷갈릴 수 있습니다. “결국 큰 회사는 큰 과징금, 작은 회사는 작은 과징금”이라는 단순 결론이잖아? 하지만 주의해야 할 포인트는 따로 있습니다.
- 과징금이 곧 보상이 아니다
- 기업이 수천억 과징금을 내더라도, 피해자가 직접 보상받는 구조는 아닙니다.
- 피해 보상은 별도 절차(분쟁조정·소송)를 거쳐야 합니다.
- 통지 의무 확인
- 법에 따르면 기업은 개인정보 유출 사실을 지체 없이 통지해야 합니다.
- 만약 통지를 늦게 받았다면, 피해자가 “법 위반”으로 추가 대응할 수 있습니다.
- 재발 방지 의무
- 기업이 과징금만 내고 끝내는 게 아니라, 일정 기간 보안 강화 계획을 의무적으로 제출해야 합니다.
- 소비자는 기업이 실제로 약속을 이행하는지 확인할 권리가 있습니다.
🧾 사례에서 배울 수 있는 것
- SKT 사례: 대규모·민감 데이터 유출 + 관리 소홀 → 과징금 최고 수준
- 롯데카드 사례: 상대적으로 규모·데이터 민감도 낮음 + 대응 적절 → 과징금 감경
👉 핵심은 “사건의 크기보다 관리 책임과 대응 여부가 더 크게 작용한다”는 겁니다.
📝 소비자가 챙겨야 할 체크리스트
- 과징금 보도에 현혹되지 말고, 내 보상 절차가 별도로 존재한다는 걸 기억
- 기업으로부터 받은 통지 메일·문자 삭제하지 말고 보관
- 개인정보보호위원회 공지·보도자료 확인 → 기업의 재발 방지 계획 점검
- 집단분쟁조정 절차가 개시되면 즉시 참여 신청
- 소송·조정에 대비해 피해 입증 자료를 꾸준히 모으기
✨ 마무리 & 다음편 예고
오늘은 왜 같은 해킹인데 과징금 격차가 큰지, 그리고 소비자가 알아야 할 주의사항을 살펴봤습니다. 결론적으로 과징금 액수는 기업 책임의 크기를 보여주는 지표일 뿐, 피해자 보상과는 직접 연결되지 않는다는 점을 꼭 기억하세요.
👉 다음 3편에서는 드디어 피해자가 실제로 보상·구제를 받기 위한 신청 방법을 단계별로 정리해드리겠습니다. 집단분쟁조정, 소송, 기관 신고 등 실전 절차를 다룰 예정이니 꼭 기대해 주세요 🤍