연이은 개인정보 유출 사고로 인한 피해가 눈덩이처럼 불어나고 있다. 정부와 기업이 땜질 처방으로 사태를 안일하게 수습해 1, 2차 피해가 증가하고 있기 때문이다. 2008년 이후 연거푸 발생한 개인정보 유출 피해 규모는 지금까지 애써 쌓아올린 신용사회를 충분히 무너뜨릴 수 있는 정도였다. 개인의 민감한 정보가 이미 하나의 상품처럼 거래되는 상황에서 개인정보를 탐내는 원인은 무엇이고 그에 대한 대책은 무엇인지 짚어본다.
개인정보가 돈이 되는 사회
개인정보 대량 유출 사고는 2008년 2월 온라인 쇼핑몰 업체 옥션에서 처음 터졌다. 이름, 집 주소, 전화번호뿐만 아니라 개인 식별 기능이 가장 높은 주민등록번호까지 해킹해낸 해커들은 해킹 사실을 알리지 않는 대가로 옥션 측에 14억 원을 요구했다. 다행히 해커들은 중국 공안에 의해 검거됐지만 그 과정에서 개인정보가 2차 유출돼 인터넷에 뿌려졌다. 무려 1,860만 명의 개인정보가 새어나간 옥션 사태는 ‘국내 개인정보 유출사’의 서막을 올렸다.
2010년 들어 개인정보 유출사에 굵직한 사건들이 연달아 기록되기 시작했다. 신세계몰, 현대캐피탈, KT 등 업종을 가리지 않는 대형 유출 사건은 인터넷 업체의 개인정보 데이터베이스를 암호화해야 한다는 여론으로 이어져 관련 법안의 통과를 가속화했다. 하지만 이를 비웃듯 2011년 싸이월드 유출 사건에서 해커들은 피해규모 신기록을 세웠다. 회원 수 3,500만 명의 싸이월드가 해킹 당하자 전 국민은 자신의 개인정보가 정말 안전한지 촉각을 곤두세우게 됐다. 그 결과 2012년 정보통신망법 개정안에는 인터넷 업체의 주민번호 수집 금지가 포함됐다. 하지만 동의에 따른 주민등록번호 수집은 여전히 가능했다. 지난해 6월에는 주민등록번호의 처리를 제한하고 유출시 과징금을 매기는 등 핵심적인 내용을 담은 개인정보보호법 개정안이 통과됐지만 개인정보 유출은 끊임없이 기승을 부렸다.
개인정보 유출은 내부자에 의해서도 일어났다. 지난해 11월에는 씨티은행 직원과 SC은행 외주 개발 업체 직원이 합작해 300만 건이 넘는 개인정보를 USB로 빼돌린 사건이 발생했다. 내부자에 의한 범죄라는 점, 금융사에서 발생했다는 점이 이번 카드사 유출 사건과 꼭 닮았지만 소 잃어놓고 외양간조차도 고쳐지지 않았고, 1억 건이 넘는 개인정보는 또 도난당했다.
이렇게 내부자까지 개인정보에 탐을 내는 이유는 정보사회에서 개인정보는 곧 돈이기 때문이다. 현행 금융지주회사법 상 개인정보를 활용해 이윤을 창출하는 방법은 무궁무진하다. 금융지주 계열사에 소속된 여러 회사들은 방대하게 구축된 개인정보 데이터베이스를 서로 끌어다 쓰며 개인 맞춤형 보험판매와 같은 마케팅 수단으로 활용하고 있다.
불법적으로 거래된 개인정보는 범죄에 악용되기도 한다. 개인정보 유출 피해자는 맞춤형 보이스 피싱을 구사하는 신용범죄 집단에게 손쉬운 먹이감이 돼왔다. 이처럼 신용사회의 뿌리를 흔드는 신용 범죄는 해외에 근거지를 두며 점조직으로 운영되기 때문에 피의자를 적발해 피해 보상을 받기 어렵다. 1차 유출자를 사후에 적발해내도 이미 해외 등지로 팔려나간 개인 정보를 되돌릴 수는 없다. 주민등록번호까지 모두 털린 마당에 이제와 대책을 마련해도 사후약방문이라는 지적이 나오는 이유다.
이게 다 도둑이 능숙한 탓이다?
“해킹 사고는 상당한 수준의 해킹 기술을 보유하고 있는 지능적인 해커에 의해 발생한 것으로 보이고, 피고가 이 사건을 근본적으로 방지하기는 쉽지 않았던 것으로 보인다.” 법원이 옥션에 대한 손해배상 청구 소송을 기각하며 밝힌 이유다.
개인정보 유출 피해자를 구제하는 공공기관이나 공적기금이 마련되지 않은 상황에서 피해자 개인이 구제받는 유일한 방법은 기업에 대한 손해배상 소송뿐이다. 하지만 피해자 개인이 기업에게 소송을 제기해 승소하기는 쉽지 않기 때문에 피해자 여럿이 모여 소송을 제기하는 집단소송이 줄곧 시도돼 왔다.
하지만 대표적 사례인 옥션, GS칼텍스, 싸이월드 집단소송에서 피해자들은 패소를 거듭했다. 옥션을 상대로 한 소송에서는 개인정보 유출에 대한 기업의 책임을 피해자 집단이 명확히 입증하지 못해 패소했고, GS칼텍스를 상대로 한 소송에서는 유출에 뒤이은 경제적 피해가 명확하지 않아 패소했다. 기업을 믿고 위탁한 개인정보가 도난당했지만 도둑이 능숙했으니 책임은 피해자가 입증하라는 것이다. 이에 대해 참여연대 안진걸 협동사무처장은 “이는 재판부의 기업 봐주기다”라며 “기업이 개인에게 개인정보를 위탁받은 만큼 그에 상응하는 책임을 져야 한다”고 지적했다.
1차 유출로 인한 2차 피해의 손해배상을 얻어내는 것 역시 어렵다. 이를테면 스미싱 같은 경제적 이익을 침해하는 2차 피해가 발생했을 때 이를 입증하는 책임도 피해자 개인에게 있기 때문이다. 입증책임이 피해자에게 있다 보니 대다수의 개인은 스팸문자와 같은 공격적 마케팅에 적극적으로 대응하기보다 정보사회에서 겪을 수밖에 없는 일종의 공해처럼 여기고 마는 것이 현실이다.
한편 이번 카드 3사의 개인정보 유출 사건은 내부자에 의해 저질러졌으며 그 규모가 방대해 사회적 파장이 큰 만큼 이전과 다른 판결이 나올 것이라는 예측이 제기된다. 지난달 27일 카드사에 101명의 집단 공익소송을 제기한 금융소비자연맹의 강형구 금융국장은 “2007년 국민은행에서 내부자 공모로 개인정보가 유출된 것에 대해 10만 원의 위자료를 지급하라는 판례가 있다”며 “이번에는 유출된 정보의 가짓수가 최대 21가지로 훨씬 많은데다, 금융사에 경고하는 차원에서 10~20만 원 수준의 위자료 지급판결이 나올 가능성이 크다”고 말했다. 또 원희룡 전 국회의원이 주도하는 ‘개인정보 유출 국민변호인단’에는 현재 3만 명의 소송참가자가 몰려 있는데, 이번 사건은 법원이 여론을 의식해 기업의 과실 책임을 강조할 것이라는 기대감이 분출되고 있다.
반면 이번 역시 유출 피해를 배상 받기는 쉽지 않을 것이라는 의견도 있다. 정부가 정보 유출에 따른 2차 피해는 없을 것이라고 공식 발표를 한데다, 카드사 또한 2차 피해가 생길 시 전액 보상하겠다고 밝혔지만 입증책임은 이번에도 오롯이 피해자에게 떠넘겨 사실상 빈말에 불과할 것이라는 해석이 지배적이기 때문이다.
개인정보, 관리 주체가 책임져야
무분별한 개인정보 수집과 기업의 보안의식 부재로 인해 다시 발생한 대형 개인정보 유출 사태에 기업과 정부는 여전히 책임회피로 일관하고 있다. 이번 유출 사태에 도의적 책임을 지겠다는 카드사 경영진들은 카드사 전 고객에게 속죄의 의미로 월 300원의 결제내역 알림 문자서비스를 무료로 제공하는데 그 기간은 1년이라는 보상책을 내놓았다. 심지어 현오석 경제부총리는 “금융 소비자도 정보를 제공하는 단계에서부터 신중해야 한다”며 “우리가 다 정보 제공에 동의하지 않았냐”고 국민에게 책임을 전가해 문제의 본질을 회피한다는 지적을 받았다.
개인정보 보호와 관련해 가장 시급히 해결돼야 할 문제로 전문가들은 기업들의 무분별한 개인정보 수집을 지적한다. 이는 ‘개인정보 자기결정권’이 실질적으로 보장되지 않는 환경에서 발생한다. 소비자가 금융 서비스를 이용하기 위해 영업에 불필요한 개인정보 제공에도 반드시 동의해야 하는 환경에서 기업들은 개인정보를 손쉽게 수집해 왔다. 게다가 개인정보 제공에 관한 약관이 지나치게 복잡해 합리적인 소비자조차도 이해하기 힘들다. 소비자는 자신에 관한 정보가 누구에게 어느 범위까지 알려지고 이용되는지 약관을 통해 충분히 파악하기 어려운 것이다. 전문가들은 개인정보 약관동의 서식을 개선해 포괄적 동의를 법적으로 제한하고, 필수동의와 선택동의를 엄격하게 분리함으로써 선택권을 다양하게 제공해야 한다고 입을 모으고 있다.
기업이 개인정보를 보유하는 것에 대한 책임을 높일 필요성도 제기된다. 그 대안 중 하나로 제시되는 것은 기업의 보유 부담을 늘리는 것이다. 보유 부담은 개인정보를 보유하는 기관이 보유량에 상응하는 경제적 부담을 지는 것을 뜻한다. 기업의 보유 부담을 높이기 위한 대책의 하나로 정부가 제시하는 징벌적 과징금제도가 있다. 하지만 이는 개인정보 유출 피해자가 아닌 정부에게 돈을 주는 제도라는 점에서 비판을 받는다. 최근 대안으로 힘을 얻고 있는 징벌적 손해배상제도는 피해자에게 돈을 배상한다는 점에서 긍정적이지만 과징금 제도와 마찬가지로 소송을 거쳐야 해 피해자는 직접 시간과 노력을 들여 스스로 피해사실을 입증해야 하는 불편함을 겪을 수밖에 없다. 때문에 민주사회를위한변호사모임 등 3개 시민단체는 피해사실이 확인되면 곧바로 피해자를 구제할 수 있는 공적기금이 마련돼야 한다고 주장하고 있다. 이들은 지난 1월 성명을 통해 “불필요한 개인정보 보유의 유인을 원천적으로 줄이는 가장 효과적인 방안의 하나로, 개인정보 보유 규모에 비례해 피해 발생 시 지원 목적으로 사용될 금융소비자 보호기금에 대한 출연을 의무화하자”고 제안한 바 있다.