개인정보보호 크게 강화됐지만…전문가들 “여전히 기업에 유리”
- 법조계 “개인정보유출에 대한 피해입증 어려워”
[디지털데일리 이민형기자] “피고 XXX 사업자가 이용자들의 개인정보를 유출시킨 것은 인정하나 이것이 과실이라고 볼 수는 없다. XXX 사업자는 해킹방지 의무를 다했기 때문이다. 또 유출된 개인정보가 원고들에게 어떤 피해를 입혔는지 입증하기 어렵다. 따라서 원고의 손해배상 청구소송을 기각한다.”
지난 몇 년간 진행된 개인정보유출 관련 집단소송 판결문은 다소 차이는 있지만, 대부분 이러한 이유로 원고 패소했다.
실제 옥션, GS칼텍스, SK컴즈, 넥슨 등은 개인정보를 외부로 유출시켰지만 이들 모두 법에서 규정하는 조치를 모두 취했기 때문에 형사처벌을 받지 않았다.
현재까지 개인정보유출과 관련된 집단소송에서 원고가 승소한 판례는 단 한건도 없다. 올해는 옥션 개인정보유출 관련 항소심(고등법원 2심)과, SK컴즈의 1, 2심이 재판부의 판결을 기다리고 있다.
개인정보보호를 위한 제도적인 보완이 대폭 이뤄졌지만 여전히 유사시 피해자들의 적절하게 피해를 구제받는 장치가 마련됐는지에 대해서는 논란이 많다.
현재 개인정보유출 소송에서 가장 큰 판단의 잣대가 되는 것은 ‘피고(개인정보 취급 사업자)가 정보통신망법 상 기술적, 관리적 보호조치를 취했는가’의 여부다. 최근 개인정보유출 사고를 낸 기업들은 이에 대한 조치를 취했기 때문에 과실이라고 보기 힘들다는 것이 재판부의 결론이다. 결국 기업들이 법에서 규정하는 조치만 제대로 취한다면 개인정보유출에 대한 책임을 면할 수 있다는 것으로 해석될 수 있다.
이와 관련 보안업계 관계자들은 앞으로 있을 개인정보유출 손해배상 소송에서도 피해자들이 승소할 수 있는 확률은 낮을 것이라고 예측했다. 다만 피해를 막기 위한 다양한 대책은 국가적 차원에서 강구돼야 한다고 강조하는 수준에 그치고 있다.
법조계의 견해도 크게 다르지 않다. 익명을 요구한 박 모 변호사는 “우리나라의 개인정보보호와 관련된 법안은 대체로 기업의 입장을 고려한 부분이 많다. 규제와 관련한 이슈만 잘 처리한다면 법적인 구속에서 자유로울 수 있기 때문”이라고 말했다.
정보통신망법 제28조1항에 의거 정보통신서비스 사업자들은 개인정보보호를 위해 내부관리계획 수립, 침입차단시스템 구축, 로그기록저장, 암호화, 백신SW 등을 운영해야한다. 이를 위반할 경우 매출액의 1% 이하에 해당하는 금액을 과징금으로 내야한다.
이를 다른 시각에서 접근하면, 정보통신망법에서 규정하는 개인정보보호 의무만 수행한다면 형사적인 처벌을 피할 수 있다는 것이다. 주의 의무를 다하면 처벌은 피할 수 있다는 것이다.
물론 박 변호사는 “다만 개인정보보호관리체계(PIMS), 정보보호관리체계(ISMS) 인증을 받았을 경우라 하더라도 해킹에 대한 면책은 주어지지 않는다는 점은 사용자의 입장에서는 다행인 일”이라고 말했다.
올해부터 기업들은 ISMS 인증을 무조건 획득하도록 정보통신망법이 개정됐다. 그러나 기업이 이를 획득해도 해킹 사고시 과실이 면책되는 것은 아니다.
그는“형사처벌에 대한 기준이 모호한 것도 문제지만, 손해배상에서 원고(사용자)가 입은 피해를 입증하는 것인 거의 불가능에 가깝다. 이에 대한 법원의 구제가 추가적으로 필요하다”고 강조했다.
실제로‘개인정보유출로 인한 피해를 입증하는 것’은 쉽지 않다. 디지털, 인터넷이라는 공간이 눈에 보이지 않을뿐더러 개인정보유출 사건으로 인한 피해를 입증하기가 어렵다.
보안업계 전문가들은 “개인정보보호법 시대를 맞이해 법과 제도적인 측면에서의 피해자 구제를 위한 진전된 논의가 더 필요하다”고 입을 모으고 있다.
<이민형 기자>kiku@ddaily.co.kr
MBK, '국가핵심기술 기업' 해외매각 우려 여전히 쟁점… 고려아연 M&A, 정부 역할 필요↑
2024-12-22 19:52:35스트레스 완충자본 규제 유예… 한시름 놓은 은행권, 기업금융 고삐죌까
2024-12-22 14:06:20심각한 노인빈곤율…"면세자에 대한 환급형 세액공제 도입해야"
2024-12-22 12:38:24올해 정보보호 투자액 2조원 돌파…공시 의무화 효과 '톡톡'
2024-12-22 12:00:00