[뉴스토마토 윤민영 기자] 최근 동행복권, 패션 플랫폼 지그재그 등에서 개인정보 유출 사태가 벌어지며 2차 피해 우려가 커지고 있습니다.
전화번호·주소·계좌 등 민감한 정보가 무분별하게 노출되는 개인정보 유출은 피해가 발생해도 법률적으로나 법원 판단이 기업에 유리한 구조를 갖고 있어 관련 법안 수정과 처벌 강화가 필요하다는 지적입니다.
피해자, 승소 해도 소액 배상에 머물러
과거부터 쇼핑몰이나 통신사 등 개인정보 유출 사건은 끊이지 않았지만 피해자가 승소한 사례는 찾아보기 힘듭니다. 정보 유출을 당한 피해자들이 몇 년에 걸쳐 집단 소송을 해도 결과는 원고 패소 또는 10만원 내외의 배상 판결이 나오는데 그칩니다.
이 또한 개인정보 유출을 인지한 피해자에 한해서만 이뤄지기 때문에 대다수의 유출 피해자들은 자신의 피해 사실조차 모르는 경우가 많습니다. 배상 청구 또한 300만원 이하의 범위 내에서 손해액을 청구할 수 있습니다.
기업의 고의적인 과실이 클 경우에 한해서 과징금 부과 등이 이뤄지기는 하나, 근본적으로는 솜방망이 처벌이 기업들의 반복되는 개인정보 유출 원인으로 지목되고 있습니다.
해킹 기술 고도화가 면책 사유
2012년 가입자 870만명의 개인정보가 유출된 'KT 사건'은 대표적인 친기업적 판결로 불립니다. 이름과 휴대전화 번호는 물론 주민등록번호까지 유출된데다 피해자 규모가 워낙 방대해, 사건은 대법원까지 갔습니다.
1심과 2심에서는 KT의 과실이 인정돼 1인당 10만원씩 배상하라는 판결이 내려졌습니다. 그러나 대법원은 KT의 일부 과실을 인정하면서도 정보 보호 조치를 해왔기 때문에 책임이 없다며 원심을 파기했습니다. 소송이 시작된 지 6년 만의 판결입니다.
이러한 개인정보 유출 소송에서는 기업이 기술적·관리적 조치 의무를 다했는지가 소송에서 늘 쟁점이 됐습니다. 기업이 개인정보 보호를 위한 조치를 해왔다는 이유는 면책 사유가 됐습니다. 따라서 개인정보 유출에 대한 처벌 수준이 낮다는 의견이 꾸준히 제기돼왔습니다.
현행법은 전체 매출액의 100분의 3을 초과하지 않는 범위에서 기업에 과징금을 부과하도록 하고 있습니다. 개인정보처리자가 해당 정보주체에게 유출된 개인정보의 항목 등을 알리지 않거나 개인정보 보호위원회 또는 전문기관에 신고하지 않은 경우 3000만원 이하의 과태료를 부과할 수 있도록 하고 있습니다.
국회에서는 재발 방지를 위해 기업 처벌 수위를 높이는 내용의 입법을 제안했지만 현재 계류 중입니다. 개인정보 유출에 대한 과징금의 상한을 전체 매출액의 100분의 9를 초과하지 않는 범위로 확대하고, 과태료 부과도 기존 3000만원 이하에서 5000만원 이하로 상향하는 내용입니다.
카드사 개입정보 유출 사건 집단 소송에서 피해자들의 승소를 이끌었던 이흥엽 변호사는 "보통 개인정보 유출 사건은 배상을 해야 할 사안인 지가 문제"라며 "그동안 법원 판례는 개인정보 유출의 원인인 해킹 수법 등이 통상적인 IT 기술 수준으로 예측할 수 있는 범위를 넘어섰을 때는 불가항력이라는 이유로 기업의 책임을 인정하지 않았다"라고 설명했습니다.
동행복권이 판매를 담당하고 있는 로또. (사진=뉴시스)
윤민영 기자 min0@etomato.com