정 사장은 기자회견에서 "개인적으로 죄송하고 수치스럽다"며 "책임질 것은 책임지겠다"고 말했다. 그러나 이미 2월부터 시작된 해킹으로 고객 43만명의 이름과 주민등록번호, 전화번호, 주소가 유출된 상황이었다. 이 중 1만3000명은 아예 대출계좌번호와 비밀번호까지 빠져나간 상태. 정 사장이 말한 '책임'의 범위는 너무도 컸다.
그간 금융회사의 보안은 여타 업종에 비해 가장 엄격하게 관리되는 것으로 알려져 있었다. 국내 캐피털 1위 업체인 데다 현대차그룹의 계열사인 현대캐피탈의 고객정보 해킹 사건은 가히 충격적이었다. 고객의 로그정보(비밀번호) 암호화를 미루다 결국 해커에게 통째로 뚫려버린 이번 사건은 기업의 보안문제에 대한 의식수준을 고스란히 드러낸 대표사례다.
■피해자 배상판결 줄줄이 '敗'
2010년 9월 16일. 개인정보 유출과 관련, 한 가지 주목할 만한 재판결과가 나왔다. 개인정보 유출 피해자들이 다시 한번 법의 높은 잣대를 절감한 순간이었다.
GS 내부 직원이 판매목적으로 GS칼텍스 회원 1100만명의 개인정보를 빼냈던 'GS칼텍스 정보유출 사건'에서 서울 중앙지법 민사 합의31부(황적화 부장판사)는 김모씨 등 2만8000여명이 정보 유출로 피해를 봤다고 GS칼텍스와 자회사 GS넥스테이션을 상대로 낸 손해배상 청구소송에서 원고 패소 판결을 내렸다. "사건 초기 관련자들이 잡히면서 유출된 개인정보가 시중에 유통되지 않아 실질적으로 피해를 인정하기 어렵다. 따라서 GS측의 배상책임이 없다"는 게 재판부가 제시한 이유였다.
지난 2008년 9월 발생한 GS칼텍스 회원정보 유출 사건은 같은 해 일어난 옥션 사건과 더불어 국내 최대 규모의 개인정보 유출 사건으로 기록된다. 개인정보 유출 피해자들은 GS칼텍스가 서버 내 개인정보를 이동저장장치에 내려받게 할 정도로 보안관리를 허술하게 해 피해를 봤다고 주장했지만 재판부는 이를 인정하지 않았다. 정신적인 피해 보상도 인정되지 않았다. 재판부는 "피해자 입장에서 정보가 유포될 수 있다는 불안감은 지닐 수 있겠지만 위자료를 지급할 만큼의 정신적 손해가 발생했다고는 볼 수 없다"고 보았다.
옥션에 이어 개인정보 유출 피해자들의 연패였다.
그러나 이와 유사한 사건에서 일본의 사법부가 취하는 입장은 다르다.
GS칼텍스 사건과 비슷한 사건이 지난 2004년 2월 발생한 일본야후BB의 고객정보 대량 유출 사건이다. '인터넷 황제'로 불리는 손정의씨가 이끌고 있는 소프트뱅크가 운영하는 일본 최대의 인터넷접속 서비스업체 야후BB가 자사 대리점 간부 3명으로부터 고객정보 460만명의 정보가 기록된 디지털비디오디스크(DVD)를 갖고 있으니 30억엔을 달라고 협박받은 것. 협박범 3명은 즉시 공갈 미수 혐의로 체포돼 개인정보 유출은 막았지만 일본 최고재판소(대법원)는 야후BB측에 손해를 배상하라고 판시했다. 고객들의 개인정보가 1차로 유출된 것은 GS칼텍스 사건과 동일하다. 차이가 있다면 GS칼텍스 사건은 협박 전 범인들을 잡았다는 점이다.
법률 전문가들은 GS칼텍스의 경우는 약 10명에게 고객 정보가 넘어갔지만 야후BB는 3명만이 사건에 가담, GS칼텍스 사건이 야후BB사건보다 위험성이 컸다는 입장이다. 1심에서 원고측이 패한 GS칼텍스 사건은 오는 27일 2심 두번째 심리가 열린다.
애플의 위치정보 수집 의혹과 관련해 국내에서도 집단소송이 제기됐지만 실제 일반 소비자들이 기업을 상대로 피해보상을 받아내기란 쉽지 않다. 엔씨소프트, 옛 LG텔레콤, 옥션 등 과거 개인정보 유출 사건에서도 집단민사소송이 제기됐지만 피해 당사자들이 손해를 배상받은 사례는 거의 없다.
한국인터넷진흥원에 따르면 지난 2005년부터 2007년까지 개인정보침해 피해규모는 총 10조7000억원으로 추정된다. 그러나 실질적으로 보상받는 경우는 사실상 미미하거나 거의 없다. 명확한 손해배상 기준이 없다는 점이 최대 걸림돌이다. 소비자 입장에선 변호사 비용만 늘어가고 있다는 지적이다. 1000만명 이상의 개인정보가 유출됐던 옥션의 경우 14만명의 피해자가 집단소송을 제기했지만 법원의 무죄판결 이후 별다른 진전이 없는 상태다.
■소잃고 외양간 고치기?
연이어 터진 대규모 개인정보 유출 사건으로 기업들의 보안의식도 도마에 오르고 있다.
현대캐피탈은 지난 4월 해킹 사건을 계기로 정보기술(IT)보안전담 조직을 설치하는 방안을 검토 중이다. 회사 안에 24시간 보안만을 책임지는 조직을 만들어 보안업무를 특화할 필요성을 느꼈다는 것이다. 현대캐피탈 해킹에 이어 농협의 전산장애 사고가 터지자 정부와 해당 금융사가 사안의 심각성을 뒤늦게 깨닫고 사후대책 마련에 나서는 모습이다.
현대캐피탈, 농협 사건 직전인 지난 3월 방송통신위원회가 발표한 '2010년 정보보호 실태조사'를 보면 종사자 수 5명 이상의 6529개 업체를 대상으로 한 조사에서 개인정보보호에 투자한 기업은 전체의 36.5%에 불과했다. 나머지 63.5%는 정보보호 분야에 한 푼도 투자하지 않았다는 말이다. 이 기업들은 '정보보호 투자가 없는 이유'로 '보안사고가 거의 없어서'(65.1%)를 가장 많이 꼽았다. 다음으로 '정보보호에 관심이 없어서'(16.2%), '방법을 몰라서'(5.5%), '예산 부족'(4.3%) 등을 이유로 답했다.
전문가들은 정부 차원에서 정보 유출의 책임 소재를 명확히 하는 기준을 만들고 그에 따른 기업제재와 피해자에 대한 배상체계를 재정비해야 한다고 입을 모은다.
수년에 걸친 민사소송에도 피해자들이 마땅히 구제받지 못하는 현재의 법 현실에선 언제든 제2, 제3의 GS칼텍스·옥션 사태가 터질 수밖에 없다는 것. 아울러 현재 자율적으로 이뤄지고 있는 기업들의 정보보안에 대해 부분적으로라도 강제성을 갖고 종합적으로 점검해야 한다는 지적이다.
/ehcho@fnnews.com조은효기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지