KB국민·롯데·농협카드에서 유출된 개인정보 건수는 1억400만 건에 달한다. 전 세계에서 발생한 개인정보 유출 사건 중 세 번째로 큰 규모다.

그런데 문제는 이번 사건과 유사한 일이 수년간 여러 차례 반복됐다는 점이다. 2008년 1월 인터넷 오픈마켓 옥션에서 개인정보 1081만 건이 유출된 것을 시작으로, 같은 해 9월에는 GS칼텍스(1125만 건), 2011년 8월엔 인터넷 사이트 네이트와 싸이월드의 개인정보 3500만 건이 유출돼 논란이 됐다. 2012년 2~7월엔 KT 휴대전화 개인정보 870만 건이 유출되는 사건도 벌어졌다. 사건이 벌어질 때마다 해당 기업과 금융당국은 부랴부랴 대책을 내놨다. 시스템을 점검한다고 야단법석을 떨었고 관련 규정을 정비한다고 발표했다. 그러나 이번 사건으로 그간의 노력과 대책은 물거품이 됐다.

그렇다면 대규모 개인정보 유출 사건은 왜 반복적으로 발생하는 것일까. 물론 여러 가지 문제가 복합적으로 얽혀 있겠지만, 필자는 관련 법령의 문제가 무엇보다 크다고 생각한다. 우리나라는 현재 개인정보 보호를 위한 여러 가지 법을 가지고 있다. 금융실명거래 및 비밀보장에 관한 법률, 신용정보보호법, 전자상거래 소비자보호법, 전자금융거래법, 정보통신망법, 통신비밀보호법, 위치정보의 보호 및 이용 등에 관한 법률, 개인정보보호법 등이다. 그런데 문제는 이들 법령이 일관된 체계를 갖추지 못했다는 데 있다. 몇몇 사례를 보자.

개인정보 수집의 경우, 특별법인 정보통신망법에는 개인정보의 목적·항목·기간을 본인에게 제공하라는 조항만 있지만 일반법인 개인정보보호법에는 정보를 제공받는 자에 대한 단서조항까지 규정돼 있다. 일반법이 특별법보다 더 많은 규정을 담은 기형적인 구조다. 정보처리 업무를 위탁할 때 개인정보보호법은 별다른 제한을 두지 않지만 신용정보보호법은 업무 위탁자의 자본금 기준(1억 원)까지 규정한다. 기본법인 개인정보보호법보다 특별법인 신용정보보호법이 먼저 입법화되면서 벌어진 일이다.

각 법령에서 다루는 용어도 통일돼 있지 않아 혼란을 부추긴다. 개인정보보호법에선 ‘유출’, 정보통신망법에선‘누출’, 위치정보의 보호 및 이용 등에 관한 법률에선‘누설’이라고 쓴다. 용어가 다르다보니 각각의 법률이 다루는 개념도 조금씩 다를 수밖에 없다. 법제도의 정비와 일정한 방향으로의 통일이 절실한 이유다.



규제당국의 책임도 크다. 개인정보 보호 문제의 경우 현재 금융당국, 방송통신위원회, 안전행정부가 역할을 나눠 담당한다. 문제는 이 과정에서 서로 다른 법률에 의해 법이 집행된다는 점이다. 이번 사건 이전부터 정보통신망법에서는 이미 징벌적 성격의 과징금이 도입돼 시행됐다. 그러나 금융 관련 법률에선 과태료 규정만 둔다. 상황이 이렇다보니 금융당국은 이미 1980년대부터 도입해 운영되고 있는 과징금 제도를 도입해야 한다는 뜬금없고 새롭지도 않은 주장을 하는 일도 벌어지고 있다. 정작 중요한 문제, 예를 들어 ‘과징금의 한도를 어떻게 할 것인가’ 등의 문제는 거의 논의되지 못했다.

미국과는 상황이 다르다

그동안 우리나라는 정보유출 문제와 관련 금융기관에 부과할 수 있는 법률상 과태료의 상한선을 1000만 원으로 정하고 있었다. 그리고 최근 금융위원회는 앞으로 이 과태료를 징벌적 성격의 과징금으로 바꾸고 나아가 그 한도를 50억 원까지 올린다고 밝혔다. 상한선이 1000만 원에서 50억 원으로 올랐으니 큰 변화가 아닐 수 없다. 그러나 필자는 그런 정도의 과징금으로는 이번과 같은 사건을 막기 힘들다고 생각한다. 개인정보 유출 문제와 관련 금융기관에 대한 과징금 규모는 최소한 전산시스템 구축비용의 수 배, 혹은 수십 배는 돼야 한다. 그래야 금융기관들을 움직일 수 있다. 감당하기 힘든 과징금을 피하기 위해서라도 재발 방지를 위한 노력을 할 것이기 때문이다. 전산시스템 구축비용에 한참 모자라는 수준의 과징금으로는 금융기관의 도덕적 해이를 바로잡을 수 없다는 것이 필자를 포함한 법조계의 일반적 시각이다.

현행법의 집행 문제도 한번 짚어보아야 할 대목이다. 현행 개인정보보호법이나 정보통신망법은 개인정보의 암호화를 의무화한다 . 또한 이의 시행을 위한 ‘개인정보의 안정성확보조치기준’과 ‘개인정보의 기술적·관리적 보호조치기준’이라는 고시까지 제정한다 . 그럼에도 그동안 이의 집행이 미흡했다. 참고로, 암호화 의무 위반 시 개인정보보호법은 과태료를, 정보통신망법은 과징금을 부과한다고 돼 있다. 문제는 개인정보보호법 등의 법률이 당연히 금융기관에도 적용돼 금융당국이 의무사항을 제대로 지키고 있는지를 엄격하게 관리하고 법을 집행해야 함에도 그러지 못했다는 점이다. 금융당국은 그동안 자신들이 관여할 법이 아니라는 이유로 법 집행에 미온적이었던 게 사실이다. 적절한 대책이 필요하다고 생각한다. 금융 분야에 만연한 폐쇄성도 지적받아야 할 부분이다. 특히 금융 공기업 등의 주요 임원을 금융당국에서 퇴직한 전직 관료들이 싹쓸이하다보니 금융당국과 금융기관 상호간 건전한 견제가 제대로 이루어지지 않았다는 점도 이번 사태를 키운 원인이라고 생각한다.

개인정보 유출 피해자에 대한 구제책 문제도 중요하게 살펴야 한다. 카드 부정사용 등 2차 피해의 구제에 대해서는 이견이 있을 수 없다. 문제는 2차 피해가 없는 상황에서 손해배상이 가능한지 여부다. 금융사기 등에 대한 불안감 같은 정신적 손해가 배상 대상이 되는지가 논란의 핵심이다.

이와 관련해 우리 대법원은 다소 엄격하게 해석한다. 유출된 개인정보의 종류와 성격, 제3자의 열람 가능성과 확산 정도 등을 종합적으로 판단하는데, 대체로 2차 피해가 없는 경우에는 정신적 손해를 인정하지 않는다. 그렇다면 선진국의 경우는 어떨까.

2007년 미국에선 금융정보를 제공하는 기업이 해킹을 당해 회원들의 금융정보가 유출된 사건이 벌어졌다. 피해자들은 금융회사를 상대로 소송을 제기했다. 그러나 미 법원은 상당한 잠재적 손실을 입었다는 원고의 주장을 기각했다. 미 법원은 판결에서 “미래의 불확실한 손실이 예상되지만, 이를 법률상 배상청구가 가능한 실손해로 볼 수 없다”고 해석했다. 미 법원은 2006년 세무신고서의 유출로 발생한 개인정보 유출 사건 때도 같은 판단을 내렸다.