|
[이데일리 송승현 기자] “돈을 보내지 않으면 해킹으로 얻은 개인정보를 유출하겠다.” 지난 2016년 7월 한 통의 메일이 인터넷 쇼핑업체 인터파크 앞으로 날아들었다. 사태 파악에 들어간 인터파크는 이름, 주민등록 등 2540만건의 개인정보가 해킹당했다는 사실을 발견했다.
방송통신위원회는 망 분리 및 내부 비밀번호 관리를 소홀히 한 인터파크에 44억 8000만원의 과징금을 부과했다. 인터파크가 불복해 소송을 냈지만, 법원은 지난 11월 방통위 처분이 정당하다고 판결했다. 그러나 정작 개인정보 유출 피해자들은 아무런 배상도 받지 못했다. 배상을 받기 위해서는 법적인 절차를 밟아야 하지만 소송에 대한 막연한 두려움 등으로 권리 구제를 포기하고 말았기 때문이다.
데이터 관련 신사업 육성을 위한 이른바 `데이터 3법`(개인정보보호법·신용정보법·정보통신망법 개정안)이 국회 통과를 앞두고 있지만 이처럼 개인정보를 제대로 관리 보호하지 못한 기업에 대한 처벌이나 피해자 구제책 등은 부실하기만 해 우려 목소리가 크다.
해킹으로 인한 개인정보 유출 피해 인정에 인색한 법원
하지만 개인정보 유출에 따른 피해 배상은 요원한 실정이다. 특히 해킹으로 인한 개인정보 유출 사건에서 기업의 책임을 인정하는 데 인색한 편이다. 3500만명의 개인정보가 유출된 네이트·싸이월드 사건과 관련, 대법원은 지난해 6월 피해자들이 회사를 상대로 낸 손해배상 소송에서 원고 일부 승소 판결한 원심을 뒤집고 원고 패소 취지로 파기환송했다.
이후로도 법원은 KT 고객 870만명, 옥션 고객 1080여만명의 개인정보가 유출된 사건에 대해서도 회사 책임을 인정하지 않았다. 완벽한 보안을 갖추기 쉽지 않은 상황에서 정보통신서비스 제공자가 기술적·관리적 보호 조치 기준 고시 내용을 준수했다면 과실이 없다는 취지에서다.
8년간 과징금 81억원 …유출 건당 131원 `솜방망이`
이에 비해 국내 처벌 수위는 비교가 안 될 정도다. 2012년부터 올해까지 발생한 6234건의 개인정보 유출과 관련해 방통위가 부과한 과태료는 81억8381만원으로, 건당 131원에 불과한 셈이다. 과징금 부과 수위를 올리는 개인정보보호법 일부 개정안이 계류 중이지만 20대 국회 종료가 코 앞이라 사실상 폐기될 가능성이 커졌다.
법조계에서도 개인정보 유출 피해자들을 위한 실용적인 규제를 마련해야 한다는 목소리가 높다. 최주선 법무법인 민후 변호사는 “행정소송과 달리 민사소송은 입증 책임부터 전적으로 피해자들이 져야 한다”면서 “소송이 아니면 배상을 받지 못하는데 2~3년씩 걸리는 민사소송에 선뜻 참여하려고 하겠느냐”고 지적했다.
경영상 비밀을 이유로 기업들이 관련 자료를 선뜻 내주지 않는다는 점도 문제다. 재판이 시작되기 전 사건 당사자들이 증거와 서류를 상호 공개하는 디스커버리제도가 없는 국내 사법제도 아래에서는 민사소송을 통해 기업의 유출 책임을 입증하기란 여간 어려운 일이 아니다. 최 변호사는 “개인정보 유출 행정소송이 끝나면 자연스럽게 관련 피해자들에게 배상하는 방식의 입법이 시급하다”고 주문했다.