내달 23일 정보통신망법 개정안 시행
나도 모르는 사이 개인정보가 뭉텅이로 거래된다면? 기업이 제공하는 서비스를 이용하기 위해 개인정보 이용에 동의한 이용자의 피해사례가 속출하고 있다. 이름, 주소, 주민등록번호, 전화번호, 계좌번호 등 업체에 제공한 정보가 허술한 관리로 유출되고 있는 것이다. 유출된 정보는 단순 스팸메시지부터 각종 범죄에까지 이용돼 2차 피해를 야기한다. 정부는 징벌적 피해배상제도를 도입, 이 같은 피해를 발생시킨 업체에 철퇴를 가하기로 했다.
■과실인정 업체, 최대 피해3배까지
업체가 고객의 개인정보를 분실·유출할 경우 실제 발생한 피해보다 큰 금액을 배상토록 하는 징벌적 손해배상제가 내달 23일부터 시행된다. 지난해 공표된 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 개정안에 따라서다.
법에 따르면 업체가 물어야 하는 배상액은 실제 피해액의 3배까지 책정될 수 있다. 개인정보 유출과 관련한 손해배상소송에서 유출책임이 인정된 업체가 피해자에게 인당 10만원에서 50만원까지 배상하라는 취지의 판결이 속속 나오는 상황에서 기업의 경각심이 더욱 커질 것으로 보인다. 기업의 허술한 관리로 2000년대 중반 이후 지속적으로 재발해 큰 피해를 낳고 있는 개인정보유출 사태가 줄어드는 계기가 될 것으로 기대된다.
현재까지 발생한 대규모 개인정보유출 사태는 모두 10여건에 이른다. 책임이 인정된 기업만 해도 옥션, KT, 홈플러스, SK커뮤니케이션즈, 농협은행, KB국민카드, 롯데카드, 인터파크 등이다.
농협은행, 국민카드, 롯데카드 3사는 암호화하지 않은 상태에서 고객 개인정보를 외부업체 직원이 관리할 수 있도록 하는 등 내부 보안수칙을 어겨 2012년 6월부터 이듬해 말까지 도합 1억300만 건이 넘는 개인정보 유출 사태를 빚었다.
범인은 이들 업체와 신용카드부정사용 방지시스템 개발용역 계약을 맺은 코리아크레딧뷰로(KCB) 소속 직원 박모씨(42)로, 3사는 KCB 직원들이 고객 개인정보를 노트북, USB, 스마트폰 등을 통해 외부로 갖고 나갈 때도 아무런 관리를 하지 않았다. 법원은 개인정보유출 사건 중 처음으로 카드사에 책임을 인정, 2차례에 걸쳐 유출사실이 인정된 농협과 국민카드에 벌금 1500만원, 1차례 유출이 인정된 롯데카드에 벌금 1000만원을 선고했다. 법이 정한 벌금 최고액이다.
유출 피해자들이 제기한 수건의 민사 공동소송에서 카드사들은 피해정도에 따라 피해자 1인당 10만원에서 50만원까지 배상하라는 판결을 받기도 했다. 이들 카드사는 형사재판에서 항소를 제기한 상황이다.
■방통위 “피해정도 크고 2차피해 가능성↑”
인터넷쇼핑몰 인터파크는 회원 1030만여명의 개인정보 2665만건을 유출해 방송통신위원회로부터 과징금 44억8000만원과 과태료 2500만원 부과처분을 받았다. 개인정보유출로는 역대 최고 금액이다.
정부합동조사팀 조사결과 인터파크는 개인정보 처리자가 업무가 끝난 뒤에도 로그아웃을 하지 않고 퇴근하는 등 관리를 소홀히 한 사실이 파악됐다. 경찰 사이버안전국은 범행이 북한해커의 소행이라는 결론을 내놨다.
피해자들은 각기 공동소송단을 꾸려 인터파크를 상대로 한 민사소송을 진행 중이다.
정보통신망법을 주관하는 방통위는 징벌적 손해배상제 외에도 개인정보 취급업무 위탁계약을 문서를 통하도록 강제하고 업무를 다시 위탁할 경우 본사의 동의를 받도록 하는 등 관련 규정을 강화했다. 개인정보 관련 범죄로 인한 이익을 환수하기 위해 몰수·추징 규정도 신설했다.
방통위 관계자는 “최근 이동통신사, 은행, 카드사 등에서 개인정보가 대량 유출되는 사건이 증가했는데 피해정도가 크고 유출된 개인정보로 인한 2차 피해의 발생 가능성도 높아 시급한 대책 마련이 필요했다”며 “제재수준을 상향해 개인정보 침해사고에 경각심을 높이겠다”고 말했다.
pen@fnnews.com 김성호 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지