모든 기업들에게서 개인정보 유출 및 도용 사고 급증
유출 또는 도용 피해 입은 소비자에 대한 보상이 우선
보상 제도의 활성화 방안 두고 정부·기업·보험사 '고심'
3자가 대승적 결단 없이 공방만 되풀이한다면 소비자 피해는 더욱 가중될 것
[시사저널e=김태영 기자] 최근 국내 카드사를 중심으로 부정결제 사고가 잇따르면서 사회적인 우려와 책임론이 불거졌다. 사고 원인을 두고 현재 금융당국과 경찰 수사가 진행 중인 가운데 업계에서는 피싱과 스미싱을 통해 도용된 고객정보가 결제까지 이어진 범죄로 추정하고 있다.
역사적으로 카드 부정결제 사고는 어제 오늘의 일이 아니다. 10년 넘게 계속 반복되면서 적극적인 대책 마련이 시급했는데 부재했다는 지적이 나오는 것도 이 때문이다. 소 잃고 외양간 고친다고 하지만 외양간도 제대로 고치지 못했다는 비판의 목소리도 나온다.
전 세계적으로 디지털 전환과 비대면 금융의 확대가 빠르게 진행되면서 개인정보 유출로 인한 피해와 범죄 악용 사례가 급증하고 있다. 금융회사 뿐만 아니라 통신사, 게임회사, 일반 사업회사 등 모든 영역의 기업들에게서 발생하고 있다. 시간이 지나면서 유출 규모도 점차 대규모화 되고 있다.
그럼에도 불구하고 유출 또는 도용 피해를 입은 소비자에 대한 보상이 우선이라는 대전제만큼은 기업과 고객 등 사회 구성원 전체가 공유하고 있는 지점이다.
가장 큰 문제는 개인정보가 침해된 소비자들의 경우 피해액을 입증하기가 쉽지 않다는 것이다. 소송절차도 번거로워 배상이 용이하지 않고 배상액은 낮다는 문제점도 있다. 개인정보 유출을 당한 기업은 유출로 인한 손해배상의 범위가 확정되어 있지 않아 이로 인한 손해배상액의 예측이 어려워 위험관리 측면에서 어려움을 겪고 있다. 이러한 사고를 종합적으로 관리하기 위해 미국에서는 사이버 배상책임보험이 사용되고 있다.
사이버 배상책임보험은 e-비즈니스, 인터넷 네트워크 및 정보 자산 등 사이버 리스크와 관련해 계약 당사자의 위험과 제3자에 대한 손해배상 위험을 모두 담보하는 보험이다.
한국도 유사한 보험이 존재한다. 바로 개인정보 손해배상 책임 보장제도다. 기업 과실로 개인정보가 유출돼도 정보 주체가 피해 보상을 받으려면 법적 분쟁에 상당한 시간과 노력을 들여야 하는데 이런 어려움을 해소하는 것이 출시 취지다. 가입한 기업이 개인정보 유출 사고를 겪을 경우 보험사가 정보 주체에게 피해 보상금을 지급한다.
하지만 활성화 방안을 두고 정부와 기업 및 보험사의 고민이 깊어지고 있다. 개인정보 손해배상 책임 보장 제도 적용을 확대하려는 정부 의도와 달리 기업에서는 의무화 가입 대상을 둘러싼 혼선이 이어지고 있다. 현행법에 따르면 해당 제도의 의무 가입 대상은 매출액 5000만원 이상, 개인정보 보유량 1000건 이상으로 규정하고 있다.
매출액의 경우 객관적인 데이터로 파악할 수 있지만 개인정보 보유량은 기업에서 정보를 제공할 경우에만 확인이 가능하다. 특히 개인정보의 경우 제3자에게 유출이 되면 안되니 보험사가 보험 가입 의무 대상인지 파악하기 위해 각 사업자 내부 시스템을 조회해 확인하려고 해도 제한이 있다.
일각에서는 개인정보 유출 사고 발생 시 판결에 따라 기업이 지불하는 손해배상액 수준이 크지 않아 사업자들이 중대한 경영 리스크로 고려하지 않는다는 지적도 나온다.
업계 관계자는 "정부 기관과 사업자, 보험사 모두 적절한 균형점을 찾지 못한 상태에서 난감한 상황에 봉착했다"고 설명했다.
개인정보 유출은 고객 신뢰와 직결되는 문제다. 기업도 사람도 실수할 수 있고 유야무야 넘어갈 수도 있지만 이는 최소한 다시는 반복하지 않겠지 라는 믿음이 있을 때 가능하다. 사업자 입장에서 안일하게 생각하고 제대로 살피지 못한다면 언젠가는 문제가 발생했을 때 위험한 기업으로 인식하고 기업에 대한 보이콧 등의 움직임이 나타날 수 있다.
단순 불매 운동을 떠나 정보 유출 시 1인당 피해배상액이 소액이더라도 다수의 피해자가 발생하면 총 배상액은 기업이 감당하기 어려운 수준이 될 가능성도 높다. 경제적인 위험이 커졌다는 점을 감안할 때 기업의 위험 분산 측면에서도 개인정보 손해배상 책임 보장제도 가입이 필요하다.
무엇보다 10년째 되풀이되고 있는 개인정보 유출 사고는 이제 오롯이 소비자가 감당해야할 몫이 됐다. 개인정보 손해배상 책임 보상 제도가 반드시 필요한 이유이기도 하다. 가입 기준과 보상 범위, 한도 등 적절한 논의가 필요하지만 이것만으로 소비자 피해를 정당화하기에는 설득력이 부족하다.
3자가 대승적 결단 없이 공방만 되풀이 된다면 소비자 피해는 더욱 가중될 수 밖에 없다. 개인정보 보호의 중요성은 아무리 강조해도 지나침이 없다.