2014년 3월호

반복되는 개인정보 유출 사건 용어 정리도 안 된 관련법이 문제

  • 김승열 │법무법인 양헌 대표변호사·KAIST 겸직교수

    입력2014-02-21 10:09:00

  • 글자크기 설정 닫기
    • 개인정보 유출 사건이 반복적으로 발생하고 있다. 오픈마켓부터 정유사·카드사까지 정보의 유출처도 다양하다. 최근 발생한 카드사 정보유출 사건은 전 세계 3위 규모였다. 관련 법 규정은 후진적이다. 규정과 개념도 제각각. 의미 없는 과징금도 문제다. 미국은 정신적 손해배상을 인정하지 않지만, 우리나라는 사정이 다르다.
    KB국민·롯데·농협카드에서 유출된 개인정보 건수는 1억400만 건에 달한다. 전 세계에서 발생한 개인정보 유출 사건 중 세 번째로 큰 규모다.

    그런데 문제는 이번 사건과 유사한 일이 수년간 여러 차례 반복됐다는 점이다. 2008년 1월 인터넷 오픈마켓 옥션에서 개인정보 1081만 건이 유출된 것을 시작으로, 같은 해 9월에는 GS칼텍스(1125만 건), 2011년 8월엔 인터넷 사이트 네이트와 싸이월드의 개인정보 3500만 건이 유출돼 논란이 됐다. 2012년 2~7월엔 KT 휴대전화 개인정보 870만 건이 유출되는 사건도 벌어졌다. 사건이 벌어질 때마다 해당 기업과 금융당국은 부랴부랴 대책을 내놨다. 시스템을 점검한다고 야단법석을 떨었고 관련 규정을 정비한다고 발표했다. 그러나 이번 사건으로 그간의 노력과 대책은 물거품이 됐다.

    그렇다면 대규모 개인정보 유출 사건은 왜 반복적으로 발생하는 것일까. 물론 여러 가지 문제가 복합적으로 얽혀 있겠지만, 필자는 관련 법령의 문제가 무엇보다 크다고 생각한다. 우리나라는 현재 개인정보 보호를 위한 여러 가지 법을 가지고 있다. 금융실명거래 및 비밀보장에 관한 법률, 신용정보보호법, 전자상거래 소비자보호법, 전자금융거래법, 정보통신망법, 통신비밀보호법, 위치정보의 보호 및 이용 등에 관한 법률, 개인정보보호법 등이다. 그런데 문제는 이들 법령이 일관된 체계를 갖추지 못했다는 데 있다. 몇몇 사례를 보자.

    개인정보 수집의 경우, 특별법인 정보통신망법에는 개인정보의 목적·항목·기간을 본인에게 제공하라는 조항만 있지만 일반법인 개인정보보호법에는 정보를 제공받는 자에 대한 단서조항까지 규정돼 있다. 일반법이 특별법보다 더 많은 규정을 담은 기형적인 구조다. 정보처리 업무를 위탁할 때 개인정보보호법은 별다른 제한을 두지 않지만 신용정보보호법은 업무 위탁자의 자본금 기준(1억 원)까지 규정한다. 기본법인 개인정보보호법보다 특별법인 신용정보보호법이 먼저 입법화되면서 벌어진 일이다.

    각 법령에서 다루는 용어도 통일돼 있지 않아 혼란을 부추긴다. 개인정보보호법에선 ‘유출’, 정보통신망법에선‘누출’, 위치정보의 보호 및 이용 등에 관한 법률에선‘누설’이라고 쓴다. 용어가 다르다보니 각각의 법률이 다루는 개념도 조금씩 다를 수밖에 없다. 법제도의 정비와 일정한 방향으로의 통일이 절실한 이유다.



    규제당국의 책임도 크다. 개인정보 보호 문제의 경우 현재 금융당국, 방송통신위원회, 안전행정부가 역할을 나눠 담당한다. 문제는 이 과정에서 서로 다른 법률에 의해 법이 집행된다는 점이다. 이번 사건 이전부터 정보통신망법에서는 이미 징벌적 성격의 과징금이 도입돼 시행됐다. 그러나 금융 관련 법률에선 과태료 규정만 둔다. 상황이 이렇다보니 금융당국은 이미 1980년대부터 도입해 운영되고 있는 과징금 제도를 도입해야 한다는 뜬금없고 새롭지도 않은 주장을 하는 일도 벌어지고 있다. 정작 중요한 문제, 예를 들어 ‘과징금의 한도를 어떻게 할 것인가’ 등의 문제는 거의 논의되지 못했다.

    미국과는 상황이 다르다

    그동안 우리나라는 정보유출 문제와 관련 금융기관에 부과할 수 있는 법률상 과태료의 상한선을 1000만 원으로 정하고 있었다. 그리고 최근 금융위원회는 앞으로 이 과태료를 징벌적 성격의 과징금으로 바꾸고 나아가 그 한도를 50억 원까지 올린다고 밝혔다. 상한선이 1000만 원에서 50억 원으로 올랐으니 큰 변화가 아닐 수 없다. 그러나 필자는 그런 정도의 과징금으로는 이번과 같은 사건을 막기 힘들다고 생각한다. 개인정보 유출 문제와 관련 금융기관에 대한 과징금 규모는 최소한 전산시스템 구축비용의 수 배, 혹은 수십 배는 돼야 한다. 그래야 금융기관들을 움직일 수 있다. 감당하기 힘든 과징금을 피하기 위해서라도 재발 방지를 위한 노력을 할 것이기 때문이다. 전산시스템 구축비용에 한참 모자라는 수준의 과징금으로는 금융기관의 도덕적 해이를 바로잡을 수 없다는 것이 필자를 포함한 법조계의 일반적 시각이다.

    현행법의 집행 문제도 한번 짚어보아야 할 대목이다. 현행 개인정보보호법이나 정보통신망법은 개인정보의 암호화를 의무화한다 . 또한 이의 시행을 위한 ‘개인정보의 안정성확보조치기준’과 ‘개인정보의 기술적·관리적 보호조치기준’이라는 고시까지 제정한다 . 그럼에도 그동안 이의 집행이 미흡했다. 참고로, 암호화 의무 위반 시 개인정보보호법은 과태료를, 정보통신망법은 과징금을 부과한다고 돼 있다. 문제는 개인정보보호법 등의 법률이 당연히 금융기관에도 적용돼 금융당국이 의무사항을 제대로 지키고 있는지를 엄격하게 관리하고 법을 집행해야 함에도 그러지 못했다는 점이다. 금융당국은 그동안 자신들이 관여할 법이 아니라는 이유로 법 집행에 미온적이었던 게 사실이다. 적절한 대책이 필요하다고 생각한다. 금융 분야에 만연한 폐쇄성도 지적받아야 할 부분이다. 특히 금융 공기업 등의 주요 임원을 금융당국에서 퇴직한 전직 관료들이 싹쓸이하다보니 금융당국과 금융기관 상호간 건전한 견제가 제대로 이루어지지 않았다는 점도 이번 사태를 키운 원인이라고 생각한다.

    개인정보 유출 피해자에 대한 구제책 문제도 중요하게 살펴야 한다. 카드 부정사용 등 2차 피해의 구제에 대해서는 이견이 있을 수 없다. 문제는 2차 피해가 없는 상황에서 손해배상이 가능한지 여부다. 금융사기 등에 대한 불안감 같은 정신적 손해가 배상 대상이 되는지가 논란의 핵심이다.

    이와 관련해 우리 대법원은 다소 엄격하게 해석한다. 유출된 개인정보의 종류와 성격, 제3자의 열람 가능성과 확산 정도 등을 종합적으로 판단하는데, 대체로 2차 피해가 없는 경우에는 정신적 손해를 인정하지 않는다. 그렇다면 선진국의 경우는 어떨까.

    2007년 미국에선 금융정보를 제공하는 기업이 해킹을 당해 회원들의 금융정보가 유출된 사건이 벌어졌다. 피해자들은 금융회사를 상대로 소송을 제기했다. 그러나 미 법원은 상당한 잠재적 손실을 입었다는 원고의 주장을 기각했다. 미 법원은 판결에서 “미래의 불확실한 손실이 예상되지만, 이를 법률상 배상청구가 가능한 실손해로 볼 수 없다”고 해석했다. 미 법원은 2006년 세무신고서의 유출로 발생한 개인정보 유출 사건 때도 같은 판단을 내렸다.

    2007년 7월에는 수표 등 거래 승인조회서비스 회사의 전산담당 직원이 신용카드번호와 은행계좌번호 등 개인정보를 훔쳐 마케팅회사에 판매한 사건도 벌어졌다. 이후 이 사건은 미 전역에서 집단소송으로 발전했고, 결국 화해로 종결됐다. 이 사건에서 흥미로운 점은 화해 내용이다. 당시 양측은 ‘1년간 무단 카드 도용 실태를 감시하고 이 결과를 신용카드 소비자에게 무료로 제공한다. 무단 사용으로 손해가 발생하면 보상한다. 은행 소비자에게는 2년간 은행계좌 감시 및 보고 서비스를 무료로 제공하고 무단 이체 시에는 손해배상을 한다’는 등의 합의를 한 바 있다.

    심지어 ‘수표계정 변경 때문에 발생하는 프린터 비용 등 실비용도 일정한 한도에서 배상한다’는 내용도 포함됐다. 그러나 사실 소비자에게는 별다른 실익이 없었다. 하여튼 미 법원은 개인정보 유출 사건을 판단할 때마다 실제손해(actual damage)가 발생했는지를 판결의 중요한 기준으로 삼았다.

    일본은 미국과 다른 판결을 내린 바 있었다. 2001년 일본 오사카 고등재판소는 주민기본대장의 기본 정보가 무단으로 판매된 사건에서 정신적 손해배상을 인정했다.

    법정손해금제 도입 검토해야

    그렇다면 우리나라에선 앞으로 어떤 식으로 이 문제를 다뤄야 할까. 결론부터 말하자면, 미국과는 달라야 한다는 것이 필자의 생각이다. 우리나라에서도 개인정보보호법상 단체소송을 규정하고 있으나, 여러 가지 제약 등으로 실질적 운영이 어렵고, 집단소송이나 징벌적 과징금 등 피해자를 위한 법이 제대로 마련돼 있지 않기 때문이다. 법체계가 다른 만큼 미국과는 다른 법리 해석이 필요하다.

    반복되는 사태를 막기 위해서라도 정신적 손해배상은 적극적으로 인정돼야 한다. 입법론적으로 보면 이참에 법정손해금이나 징벌적 손해배상 제도의 도입을 검토해볼 수도 있다. 법정손해금 제도는 ‘과실 등에 의한 일정한 개인정보의 유출의 경우 손해가 입증되지 않아도 법률상 정한 손해배상금을 지급하도록 하는 것’을 말한다. 징벌적 과징금제의 경우에도 추징된 과징금의 일부 또는 전부를 피해자 구제에 쓰도록 하는 장치를 마련한다면 의미가 있을 것 같다.

    사업자가 스스로 피해자 구제 조치와 재발 방지 조치 등 시정 방안을 규제당국에 제출해 타당성이 인정되면 시정 방안과 같은 행정처분을 내리는 ‘동의의결제도’의 도입도 검토해볼 만하다. 이 제도는 모든 이해관계자가 참여해 해결책을 만들 수 있다는 장점이 있고, 위반 사업자 스스로 피해자 구제 및 재발 방지를 위한 시정방안을 내도록 유도하는 것이어서 징벌적 과징금보다는 저항이 적을 수 있다.

    반복되는 개인정보 유출 사건 용어 정리도 안 된 관련법이 문제
    김승열

    1961년 대구 출생

    서울대 법학과, 미국 노스웨스턴 법과대학 LL. M.

    대통령소속 국가지식재산위원회 민간위원, 금융위원회 자금세탁방지정책위원, Paul Weiss(미국 뉴욕) 변호사


    아마도 이번 사건을 계기로 우리 금융당국은 다양한 형태의 규제와 법률의 제정을 시도할 것이다. 중요한 것은 문제를 해결하는 과정에 반드시 규제당국, 위반사업자, 피해자가 모두 참여하는 자리가 마련돼야 한다는 점이다. 피해자 구제는 물론 사회적 합의와 동의의 체계화를 위해서도 이는 반드시 필요하다.



    댓글 0
    닫기

    매거진동아

    • youtube
    • youtube
    • youtube

    에디터 추천기사