징벌적 손해배상제 도입됐지만 피해액 산정 어려워
과징금 적으니 보안책임자 해고에 "벌금 내고 말지"
"기업들 정보보호 인식 개선·투자 유도해야"
[서울=뉴스핌] 이정화 기자 = 내일(8일) 정보보호의 날을 앞둔 가운데 개인정보 유출 사고가 끊이지 않고 있다. 이미 지난 2014년 1억건 이상의 카드사 정보가 유출된 후 피해액의 3배를 배상하도록 하는 '징벌적 손해배상제'가 도입됐지만, 아직까지도 개인정보 유출로 인한 피해규모 산정이 어려운 데다 여전히 과징금 수준이 미미하다는 지적이 나오고 있다.
7일 경찰과 금융당국 등에 따르면 최근 1.5테라바이트(TB) 용량의 외장하드에서 고객 금융정보가 유출된 사건과 관련해 유효카드 수 61만7000건 중 138건, 금액으로는 1006만원의 부정 사용이 발생한 것으로 조사됐다. 단순히 계산하면 유출 건수 대비 부정사용된 건수와 금액은 비교적 적지만 유출된 정보는 언제 어느때건 얼마든지 피해를 볼 수 있다는 측면에서 문제의 심각성이 드러났다.
[서울=뉴스핌] 이정화 기자 = 오는 8일 정보보호의 날을 앞두고 개인정보 유출 사고가 끊이지 않고 있다. [사진=뉴스핌DB] 2020.07.07 clean@newspim.com |
이번 사건은 서울지방경찰청 보안수사대가 지난해 11월부터 지난 1월까지 시중은행 해킹 혐의(여신금융업법 위반)로 구속된 이모(42) 씨의 추가 범행을 수사하는 과정에서 각종 신용·체크카드 정보와 은행 계좌번호, 주민등록번호, 휴대 전화번호 등 개인정보가 발견되면서 불거졌다.
지난달 모바일 쇼핑몰 옥션 게시판에서는 휴대전화 번호, 주소 등 개인정보가 유출됐다. 지난해 온라인 교육 기업 메가스터디교육은사이트에서는 회원 570만명 대부분의 개인정보가 빠져나가면서 방송통신위원회로부터 9억5400만원의 과징금을 부과받았다.
앞서 2014년에도 신용정보회사 직원이 KB국민카드, 롯데카드, NH농협카드 등 3개 신용카드사의 고객 정보를 대량으로 불법 수집·유포했지만, 정보가 유출된 피해자들의 보상금은 10만원 수준에 그쳤다. 금융당국이 이들 카드사에 부과한 과태료 처분은 600만원에 불과했다.
이후 정보 유출 피해자에 대한 적절한 보상이 이뤄져야 한다는 목소리가 커지면서 2015년 정보 유출 피해액의 3배를 배상하도록 하는 '징벌적 손해배상제'가 도입됐다. 하지만 실제 카드 번호 등이 유출돼 금전적인 피해가 발생하지 않았을 경우, 피해액을 산정하기 어려워 직접적 보상이 이뤄지기 어렵다는 지적이 나온다.
김승주 고려대 정보보호대학원 교수는 "금융 관련 정보 유출의 경우 부정 사용액을 산정할 수 있지만, 개인정보가 유출되면 이 정보를 활용해 보이스피싱 등 각종 범죄에 활용할 수 있다"며 "개인정보가 한 번 유출되면 오랜 기간 거래되면서 그만큼 피해도 오랜 기간 이어지는 만큼 피해액 산출이 쉽지 않다"고 했다.
전문가들은 근본적으로 징벌적 과징금 수준을 높여 기업들이 보안관련 투자를 확대하는 방향으로 유도해야 한다고 보고 있다. 과징금 수준이 낮다 보니 기업들이 보안 관련 투자를 확대하기보다 주먹구구식 문제해결에 집중하고 있다는 지적이다.
한국정보보호산업협회(KISIA)의 '2019년 정보보호 실태조사'에 따르면 정보보호 예산을 편성한 국내 기업은 2017년 48.1%에서 지난해 32.3%까지 감소했다. 전체 국내 기업 중 정보보호 예산을 편성한 기업이 그만큼 줄었다는 의미다.
김 교수는 "해외에서는 개인정보 유출 사고가 발생하면 과징금이 조 단위로 올라간다"며 "과징금 수준이 낮다 보니 지금까지 기업들은 정보 유출 등 보안사고가 나면 보안총괄책임자를 해고하는 방식으로 문제를 해결해왔다"고 지적했다.
그러면서 "과징금 수준을 높인다는 것은 보안총괄책임자 개인이 아닌 회사에 책임을 지우는 것으로, 보안 관련 투자를 확대하는 한편 피해자와도 유출 사고로 인한 소송 전에 충분한 합의 등을 유도할 수 있다"고 설명했다.
clean@newspim.com