‘○○사를 도산하게 해서 기업이 경계심을 갖도록 해야 한다.’
‘의도적인 것과 기술적인 피해는 구별해서 처벌해야 한다.’
개인정보 유출 이슈가 잠잠해질 줄 모르고 진행되는 가운데, 피해 보상과 처벌 수준을 놓고 논란이 일고 있다.
경제적으로 피해가 있을 수 있지만, 전체의 이익을 위해서 엄한 제재가 가해져야 한다는 주장이 있다. 또 다른 쪽에서는 잘못은 처벌해야 하지만 기업이 생존할 수 있는 수준에서 마무리돼야 한다는 목소리도 있다. 이 논란과 함께 유사 사건 발생에 대비해 대비 및 사후 처벌을 고민해야 할 시점이라는 의견도 고개를 든다.
◇소송 잔치로만 끝나지 않아야=개인정보 유출에는 이유 여하를 막론하고 피해받은 것 이상으로 보상을 해야 한다는 데 이론이 없다. 관리 부실에 따라 그랬든, 의도적으로 팔았든 타인의 정보가 범죄에 사용될 수 있다는 점에서 중하게 다뤄져야 한다는 시각이다.
그러나 이번 일이 보상금만을 위한 ‘소송 잔치’로 끝나서는 안 된다는 지적이다. 이제 옥션, 하나로텔레콤 등에 참여한 변호사만 수십 명에 달하며, 피해보상 소송을 준비 중인 사람도 수만 명에 이를 것으로 추산된다. 일부에서는 ‘소송 로또’라는 말도 나온다.
구태언 변호사는 “기업이 자신의 노력에도 천문학적인 금액을 배상해야 한다면 기업 활동을 위한 투자 위축이 우려된다”고 말했다. 사안마다 모든 피해에 소송으로 맞선다면 결국 IT산업 전체가 흔들리고, 도산과 사업 위축이 계속되면 그 부담은 사회로 되돌아오기 때문이다. 사법부의 판단을 기준으로 ‘보상금 파티’가 아닌, 미래를 위한 대안이 제시돼야 한다는 의견이다.
독일 개인정보법에는 실제로 물리적 피해를 본 사람에게는 막대한 보상을 할 수 있게 했다. 국내에서 피해 보상은 적고 위자료 명목으로 여러 사람에게 ‘용돈’ 정도를 지급하는 제도는 개선돼야 한다고 업계는 지적한다.
◇고의성 여부가 핵심이 돼야=처벌 및 보상 논란에서 정보 유출의 고의성 여부가 중요한 판단 근거가 될 전망이다. 이학영 한국YMCA 전국연맹 사무총장은 “기술적인 유출도 분명히 문제지만, 개인정보를 관리하는 회사에서 의도적으로 외부로 빼돌렸다면 그것은 그 기업의 프라이버시 보호 정책이 잘못된 것”이라며 소송으로 책임을 물어야 한다고 지적했다.
법이 허락한 수준을 넘어 정보를 팔았거나 유출한 범죄 행위에는 민사적인 보상과 함께 형사 책임이 따라야 한다는 것이다. 이에 비해 자체적으로 법률 준수 노력과 고객정보 보호를 위한 관리적·기술적 노력을 기울였다면 정상을 참작해야 한다는 주장도 제기된다.
사고 이후 대처도 가중 처벌할 것인지, 면책할 것인지에 넣어야 한다는 의견도 강하다. 사고 즉시 신고하고 수사를 요청해야 범죄자가 관련 정보를 악용하기 힘들기 때문이다. ‘사고를 숨기고 안 걸리면 그만’이라는 식의 대처는 향후 대형 과실로 이어질 수 있으며 사전 준비도 소홀해질 가능성이 크다.
◇사회적 위험 분담제 마련 필요=중장기적으로는 사회적 책임 분산 제도가 필요하다고 업계 전문가들은 말한다.
정태명 성균관대 정보통신공학부 교수는 “해킹 피해를 배상하기 위한 공제제도나 발전기금의 조성, 개인정보 보호 포럼 등을 통한 정보 공유도 필요하다”고 제안했다.
기업의 도산을 방어하는 정도에서 소비자를 보호하고 정보보호를 증진시킬 수 있는 법제도의 정착도 시급한 과제로 지적했다. 구태언 변호사도 “기업의 손해배상 책임을 일정 한도로 제한하는 법제도 마련이 필요하다”고 말했다.
위험 분담은 사고 이후 조치뿐 아니라 사전 규제를 통해서 강화돼야 한다는 주장도 있다. 현행 제도상 방송통신위원회, 행정안전부 등이 주관하는 방침으로는 사전에 보안 조치를 허술하게 하더라도 과징금 몇 천만원만 내면 되는 등 한계가 많다. 정보유출 사고 이후 처벌 논의 시에 얼마나 철저히 준비했는지를 판단할 정부 기준 자체가 미비하다는 것이다. 적어도 과징금 등이 예방에 필요한 비용보다는 커야, 기업이 이를 준수할 것이라는 지적이다.
김규태·문보경기자 star@
관련 통계자료 다운로드 유형별 개인정보 침해 사례