데이터3법 시대 코앞…개인정보 유출에 솜방망이 처벌, 피해구제도 `막막`

2012년 8월부터 올해 8월까지 7428만건 개인정보 유출
法, 해킹으로 인한 유출 피해 인정 인색…모두 기업 승소
외국은 과징금 2700억원…한국은 8년간 81억 `솜방망이`
"행정소송서 책임 인정되면 별도 소송 없이도 구제해야"

등록 2019-12-03 오전 3:05:00

수정 2019-12-03 오전 3:05:00
가 가

미국 샌프란시스코에 있는 캐피탈원 건물 앞을 한 남성이 지나가고 있다. 금융지주회사 캐피탈원은 지난 7월 29일(현지시간) 해커 침투로 인해 신용카드를 신청한 개인 고객 1억명 이상의 이름과 주소, 전화번호 등 개인정보를 유출했다. (사진=AP, 뉴시스)

[이데일리 송승현 기자] “돈을 보내지 않으면 해킹으로 얻은 개인정보를 유출하겠다.” 지난 2016년 7월 한 통의 메일이 인터넷 쇼핑업체 인터파크 앞으로 날아들었다. 사태 파악에 들어간 인터파크는 이름, 주민등록 등 2540만건의 개인정보가 해킹당했다는 사실을 발견했다.

방송통신위원회는 망 분리 및 내부 비밀번호 관리를 소홀히 한 인터파크에 44억 8000만원의 과징금을 부과했다. 인터파크가 불복해 소송을 냈지만, 법원은 지난 11월 방통위 처분이 정당하다고 판결했다. 그러나 정작 개인정보 유출 피해자들은 아무런 배상도 받지 못했다. 배상을 받기 위해서는 법적인 절차를 밟아야 하지만 소송에 대한 막연한 두려움 등으로 권리 구제를 포기하고 말았기 때문이다.

데이터 관련 신사업 육성을 위한 이른바 `데이터 3법`(개인정보보호법·신용정보법·정보통신망법 개정안)이 국회 통과를 앞두고 있지만 이처럼 개인정보를 제대로 관리 보호하지 못한 기업에 대한 처벌이나 피해자 구제책 등은 부실하기만 해 우려 목소리가 크다.

해킹으로 인한 개인정보 유출 피해 인정에 인색한 법원

2일 박광온 더불어민주당 의원실에 따르면 방통위가 정보통신망 개인정보 유출 현황을 조사한 결과, 지난 2012년 8월 개인정보 유출 신고시스템 운영 이후 올해 8월까지 340차례에 걸쳐 총 7428만건의 개인정보가 유출된 것으로 나타났다. 지난 2008년 옥션의 대규모 개인정보 유출사건을 시작으로 △2011년 넥슨, 네이트·싸이월드, 현대캐피탈 △2012년 KT, EBS △2014년 카드3사(KB국민카드·NH농협카드·롯데카드) △2016년 인터파크 등 사회적 파장이 컸던 사건에서 유출된 개인정보만 약 1억 8690만건에 달한다.

하지만 개인정보 유출에 따른 피해 배상은 요원한 실정이다. 특히 해킹으로 인한 개인정보 유출 사건에서 기업의 책임을 인정하는 데 인색한 편이다. 3500만명의 개인정보가 유출된 네이트·싸이월드 사건과 관련, 대법원은 지난해 6월 피해자들이 회사를 상대로 낸 손해배상 소송에서 원고 일부 승소 판결한 원심을 뒤집고 원고 패소 취지로 파기환송했다.

이후로도 법원은 KT 고객 870만명, 옥션 고객 1080여만명의 개인정보가 유출된 사건에 대해서도 회사 책임을 인정하지 않았다. 완벽한 보안을 갖추기 쉽지 않은 상황에서 정보통신서비스 제공자가 기술적·관리적 보호 조치 기준 고시 내용을 준수했다면 과실이 없다는 취지에서다.

8년간 과징금 81억원 …유출 건당 131원 `솜방망이`

기업에 대한 솜방망이 처벌도 개인정보 유출 사건이 반복되는 원인으로 꼽힌다. 해외의 경우 대규모 개인정보 유출 사건에서 강도 높은 과징금을 부과한다. 영국 정보위원회(ICO)는 지난 9월 해커 공격으로 3억3900만명의 고객정보를 유출한 메리어트인터내셔널에 1억2400만달러(약 1460억원)의 벌금 부과 계획을 통보했다. 영국 브리티시항공에는 2억3000만달러(약 2700억원)의 벌금을 부과하기도 했다.

이에 비해 국내 처벌 수위는 비교가 안 될 정도다. 2012년부터 올해까지 발생한 6234건의 개인정보 유출과 관련해 방통위가 부과한 과태료는 81억8381만원으로, 건당 131원에 불과한 셈이다. 과징금 부과 수위를 올리는 개인정보보호법 일부 개정안이 계류 중이지만 20대 국회 종료가 코 앞이라 사실상 폐기될 가능성이 커졌다.

법조계에서도 개인정보 유출 피해자들을 위한 실용적인 규제를 마련해야 한다는 목소리가 높다. 최주선 법무법인 민후 변호사는 “행정소송과 달리 민사소송은 입증 책임부터 전적으로 피해자들이 져야 한다”면서 “소송이 아니면 배상을 받지 못하는데 2~3년씩 걸리는 민사소송에 선뜻 참여하려고 하겠느냐”고 지적했다.

경영상 비밀을 이유로 기업들이 관련 자료를 선뜻 내주지 않는다는 점도 문제다. 재판이 시작되기 전 사건 당사자들이 증거와 서류를 상호 공개하는 디스커버리제도가 없는 국내 사법제도 아래에서는 민사소송을 통해 기업의 유출 책임을 입증하기란 여간 어려운 일이 아니다. 최 변호사는 “개인정보 유출 행정소송이 끝나면 자연스럽게 관련 피해자들에게 배상하는 방식의 입법이 시급하다”고 주문했다.