글쓴이 : 장진영
  • 변호사
  • 법무법인 강호
연락처 : 02-598-7474
이메일 : coolcjy@kangholaw.com
홈페이지 : http://www.kangholaw.com
주소 : 서울 서초구 서초동 1550-11 센트라빌딩 3,4층
소개 :

이 포스트는 1명이 in+했습니다.

정보유출, 이렇게 막을 수 있다

1

사상 최악의 개인정보유출사건으로 인해 온 나라가 어수선하다. 인구 5,000만명의 나라에서 인구수의 두 배가 넘는 1억 500만 건의 개인정보가 유출됐다는 사실도 놀랍지만, 2008년 옥션에서 1,081만 건의 개인정보가 유출된 이후 100만 건 이상의 정보유출사건만 무려 20건 이상 발생했다.

그렇다면 왜 이런 사고가 되풀이되는 것인가. 그 이유는 간단하다. 기업들이 개인정보를 자신의 관리능력 이상으로 많이 가지고 있기 때문이다. 그럼 왜 기업들이 그렇게 개인정보를 많이 가지고 있는가. 그것은 개인정보를 수집하고 이용함으로써 얻는 이익이 개인정보를 유지, 관리하기 위해 드는 비용보다 훨씬 크다고 생각하기 때문이다. 이렇게 원인을 진단했다면 대책도 명료하게 세울 수 있다.

대체 정보유출사고를 막을 수 있는 길은 무엇인가. 기업들이 개인정보를 수집하지 못하게 하거나 불가피하게 정보를 수집했으면, 그 정보를 철통같이 보안하도록 하면 된다. 지난 5년간 각종 정보유출사고 때마다 정부도 나름대로 대책을 세워 시행했지만, 사고가 끊이지 않은 이유는 정부가 근본대책은 놔두고 지엽적인 대책만 내놓기 때문이다. 근본적인 대책은 개인정보 유출 사고가 터지면 기업이 문을 닫게 하도록 제도를 바꾸면 된다. 기업은 그 생리상 스스로 망할 수도 있는 위험한 행위는 절대로 하지 않는다. 망할 수 있다는 인식을 하게 되면 정부가 감독을 안 해도 기업들은 폭탄과도 같은 개인정보에 욕심을 내지 않게 될 것이다. 정보수집도 최소한의 수준에 그칠 것이고, 이미 수집된 필요 이상의 정보는 즉각 폐기할 것이다. 다만 꼭 유지해야 하는 정보는 신줏단지 모시듯 할 것이다.

그럼 어떻게 하면 기업에게 망할 수 있다는 인식을 심을 수 있을까. 개인정보를 유출했다고 해서 정부가 사업허가를 취소하거나 장기간 영업정지를 시키기는 것은 법적으로도 현실적으로도 어려울 것이다. 피해자들이 쉽게 피해배상을 받을 수 있도록 하면 된다.

이를 위해서는 몇 가지 점이 개선되어야 한다.

첫째 개인정보를 가지고 있는 기업은 개인정보를 안전하게 관리할 의무가 있는데 현행법으로는 기업이 이러한 의무를 위반했다는 사실을 피해자가 입증해야 한다. 그러나 보안에 관한 전문가가 아닌 일반인으로서는 고도로 기술적인 주장을 하는 것은 매우 어렵다. 2008년 발생한 옥션 정보유출사건에서 피해자들이 패소했는데, 법원은 당시 옥션의 기술 수준으로 할 수 있는 조치는 다 했기 때문에 잘못이 없다고 판단했기 때문이다. 이에 대한 대책으로는 일단 정보가 유출되면 기업이 자신의 잘못이 없음을 입증하지 못하는 한 책임을 인정하도록 법을 바꾸는 것이다. 이를 입증책임의 전환이라고 한다.

둘째 설령 기업의 책임으로 정보가 유출되었더라도 피해자에게 손해가 있어야 배상을 받을 수 있다. 그런데 카드를 제삼자가 위조 또는 부정 사용하는 것처럼 직접적인 피해가 아니고 보이스피싱, 스미싱 등의 간접피해가 발생하는 것은 유출 사고로 인한 피해라는 것을 입증하기도 어렵다. 피해가 발생할지 모른다는 막연한 불안감 정도로 위자료를 인정받기는 어렵다. 2010년 발생한 GS칼텍스 정보유출사건 소송에서 법원은 피해자의 불안감만으로는 위자료를 지급할 정도의 정신적 손해가 발생했다고 볼 수 없다는 이유로 원고패소판결을 했다. 따라서 정보유출사고가 터지면 피해자에게 정신적 손해가 발생한 것으로 추정하고 그 손해 정도가 어느 수준인지만 원고가 입증하도록 하면 최소한 1인당 몇만 원 이상의 배상은 가능할 것이다. 1,000만 명의 정보가 유출된 경우 1인당 1만 원씩만 배상하도록 해도 1,000억 원이 된다. 그런데 정보유출 피해자를 모두 모아 소송을 제기하는 것은 불가능하므로 소송의 효과를 극대화하기 위해선 일부 피해자가 제기한 사건의 판결이 나머지 피해자들에게도 영향을 미칠 수 있도록 개인정보유출사건에 관한 집단소송제도를 도입해야 한다. 이는 이미 경실련 등 시민단체에서 대안으로 제시한 바 있다. 정부는 이번 사건을 계기로 복잡하고 실익도 없는 대책 대신 간명하면서도 실효성 있는 길을 가야 할 것이다.

 

◊ 이 글은 2014년 1월 28일자 한국일보<아침을 열며>에도 함께 실렸습니다.


Comment

You must be logged in to post a comment.

loading..