[IT애정남] 개인정보유출, 처벌과 보상은 어떻게 되나요?
[IT동아 정연호 기자]
개인정보는 공공재라는 우스갯소리가 있습니다. 잊을 만하면 개인정보가 유출됐다는 소식이 들리니 틀린 말도 아닌 것 같습니다. 사실 개인정보유출은 그렇게 큰 문제로 여겨지지도 않고 있죠. 하지만, 그럼에도 ‘이렇게 정보 보안이 허술해도 괜찮나?’ 하는 생각 다들 한번 해보셨을 겁니다.
스팸과 피싱이 정교해지면서 개인정보 유출로 인한 피해가 점점 커지고 있습니다. 요즘 피싱은 허술한 방식과 어눌한 말투로 기억되던 과거와는 상당히 달라졌습니다. ‘아차’하는 순간에 당하고 말죠. 공공기관을 사칭하면서 위조된 문서를 보내는 것은 물론, 기업 관계자인 척하면서 메일을 보내는 경우가 많다고 합니다. 처음부터 개인정보가 유출되지 않도록 하는 것이 중요해졌습니다. 그런데 개인정보를 다루는 기업은 그만큼 정보 보안에 신경 쓰고 있을까요? 만약, 이들이 정보 보안을 허술하게 했다면 그에 합당한 처벌을 받고, 피해자는 보상을 받을 수 있는 걸까요? thaxx님의 사연입니다
“안녕하세요. 매년 기업이 보유한 개인정보가 유출됐다는 소식을 들으면서 궁금했던 점이 있습니다. 이들은 개인정보를 허술하게 다룬 것에 대하여 마땅한 처벌을 받고 있나요? 제대로 된 처벌이 있어야 이후에 같은 문제가 터지지 않게끔 조치를 할테니까요. 그리고, 개인정보 유출로 피해를 본 사람들은 어떤 피해보상을 받을 수 있는 건지 궁금합니다(일부 내용 편집)”
안녕하세요 IT동아입니다. 개인정보 유출로 인한 처벌과 보상에 대해서 궁금하신 듯합니다. 답변을 드리기에 앞서, 「개인정보 보호법」은 어떠한 정보를 ‘개인정보’로 규정하고 있는지 먼저 이야기해봐야 할 것 같습니다. 개인정보는 1)’살아있는 개인에 관한’, 2)’개인임을 알아볼 수 있는’ 3)’해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는’ 정보를 말합니다.
개인정보가 유출됐을 때 기업은 어떤 처벌을 받을까요? 개인정보가 유출되면 사업자에게 부과하게 되는 처벌은 행정제재, 형사처벌 등 공권력을 동원하는 ‘공적집행’과 개인이 민사소송 제기로 인한 ‘사적집행’으로 나뉩니다.
개인정보보호법에 따르면, 사업자가 개인정보보호법이 규정하는 의무를 위반했을 때 과징금과 과태료를 부과할 수 있습니다. 특정 개인을 알아보기 위해서 개인정보처리자가 정보를 별도로 처리한 경우엔 관련 매출의 3%를 과징금으로 내야 합니다. 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되면 5억 원 이하의 과징금을 부과할 수 있고요. 이와는 별도로 개인정보호법을 위반했을 때 개인정보보호위원회(이하 개인정보위)가 ‘이러한 점을 고치세요’라고 시정명령을 내릴 수도 있습니다.
개인정보위는 개인정보호호법을 위반한 기업에 최대 5000만 원의 과태료를 부과할 수 있습니다. 개인정보보호법 34조에 따르면, 개인정보처리자는 정보가 유출된 것을 알게 되면 유출된 개인정보 항목, 유출 시점과 경위, 유출 피해를 최소화하기 위해 정보주체가 할 수 있는 조치, 개인정보처리자의 취할 대응 조치 및 피해 구제절차, 피해 신고를 접수할 담당부서 및 연락처를 정보주체에게 지체없이 알려야 합니다. 개인정보위에서 과태료를 부과할 땐 법령에서 정한 안전조치를 기업이 이행했는지를 따져보는데요. 사실상 과태료는 안전조치 여부와 관련해서 부과하는 것입니다. 지금 체계상 유출 피해가 밝혀진 뒤 안전조치를 점검하기 때문에 유출과 관련이 없다고 보기는 힘들지만요.
과태료 기준은 이렇습니다. 정보주체의 동의를 받지 않고 정보를 무단 수집하거나, 14세 미만 아동의 개인정보를 처리할 때 법정대리인의 동의를 받지 않은 경우 최대 5000만 원의 과태료가 부과됩니다. 또한, 개인정보 수집 동의를 받을 땐 정보 수집과 이용 목적, 수집할 개인정보 항목, 개인정보 보유 및 이용 기간, 개인정보를 제공받는 자, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 알려야 합니다. 이에 대한 변경이 있을 때도 정보주체에게 알리고 동의를 받아야 합니다. 정보주체에게 알려야 할 사항을 알리지 않은 자는 3천만 원 이하의 과태료를 부과받습니다.
계열사, 협력사 개인정보DB 판매상, 공공기관, 신문/잡지/웹사이트 등에서 공개된 자료를 활용하는 개인정보처리자는 정보주체의 요구가 있으면 ‘개인정보의 수집 출처, 개인정보의 처리 목적, 개인정보 처리의 정지를 요구할 권리가 있다는 사실’을 즉시 알려야 합니다. 정보주체에게 위의 각 사실을 알리지 않은 자는 3천만 원 이하의 과태료를 부과받습니다.
개인정보위가 사건을 조사하면서 개인정보처리자에게 개인정보보호 법규 위반에 따른 범죄혐의가 있다고 판단하면 관할 수사기관에 그 내용을 고발할 수 있습니다. 다만, 공소제기는 검사가 결정하며 유무죄 처벌은 법원이 판결합니다. 직무상 알게 된 비밀을 누설하거나 이를 직무 목적 외에 이용할 시, 동의 없이 고유식별 정보를 다룰 시, 정정과 삭제에 필요한 조치 없이 개인정보를 이용할 시, 권한 밖에 있는 개인정보를 훼손/멸실/변경/위조할 시, 부정한 방법으로 개인정보를 취득하고 부정한 목적으로 타인에게 제공할 시, 영상정보처리기기를 설치 목적과 무관하게 사용할 시 징역 혹은 벌금에 처할 수 있습니다.
“피해자 보상, 오래 걸리고 피해보상도 크지 않아”
피해자는 어떻게 보상을 받을 수 있을까요? 피해자 보상은 민사소송과 개인정보보호위원회의 분쟁조정 제도를 통해서 받을 수 있습니다. 분쟁조정 제도는 비용과 시간 문제로 소송제도를 이용하기 어려울 때 대안으로 활용하는 제도입니다. 개인정보처리 문제로 당사자 사이에 분쟁이 있을 때 조정을 원한다면 누구라도 신청이 가능하죠. 다만, 당사자가 합의를 해야 민사소송의 확정 판결과 같은 효력이 생깁니다. 분쟁조정에서 합의에 이르지 못해 민사소송으로 가는 일이 많습니다.
개인정보보호위원회 관계자는 “보통 형사, 민사 소송이 같이 들어간다. 검사들이 압수수색으로 해서 증거를 확보하고 판결이 나오면, 그 증거를 인용해서 민사로 배상을 받을 수 있다. 형사소송은 유죄판결이 나오려면 상당히 엄격한데, 민사소송은 형사에서 무죄가 나와도 배상판결이 나올 수 있다”고 말했습니다.
인하대 이은희 소비자학과 교수는 “개인정보가 유출됐을 때 개인적으로 소송을 걸기가 쉽지 않다. 그래서, 보통은 분쟁조정위원회를 거칠 것이다. 집단소송을 한다고 해도 그 많은 사람들이 서로 연락을 하고 의견을 통일하기 어렵다”고 했습니다.
민사소송을 걸어도 시간이 오래 걸리고 제대로 된 배상을 받기 어렵다는 지적도 나옵니다. 인터파크 개인정보 해킹사고에 대해 2403명(원고)을 대리한 법무법인 예율은 정보통신서비스 제공자로서 해킹 사고를 방지하지 못한 인터파크(피고)에 손해배상 책임을 무는 민사소송을 제기했습니다. 2016년에 시작한 소송이 5년이 지난 뒤에야 1인당 10만 원 지급하라는 판결로 끝나게 됐죠.
동신대 이동휘 정보보안학과 교수는 “개인정보가 유출됐을 때 피해를 산정하는 기준을 찾기 힘들다. 정보가 유출돼 특정인을 유추할 수 있어도, 그걸로 어떻게 피해가 났는지를 입증하기가 힘들다. 민감한 정보는 형사처벌을 하기도 하지만 일반적인 개인정보는 징벌적 배상을 한 적이 거의 없다. 만원에서 5만 원 선으로 배상책임이 나오는 상황이다”라고 말했습니다. 해외 기업의 경우에도 개인정보가 유출됐을 때 한국에서 소송을 걸면 국내 기업과 마찬가지로 배상을 많이 받지 못한다고 하네요.
박민철 변호사는 “개보위를 통한 조정안이 나와도 기업이 거부하면 강제력이 없다. 그럼 결국 민사소송으로 가는 것이다. 집단소송으로 갈 때 변호사가 많은 이용자를 모아야 하는데 이는 쉽지 않다”면서 “피해액은 보통 민사소송에서 결정을 하는데 상황마다 다르지만 (개인당) 위자료 20만 원 그 위아래로 인정을 하고 있다. 그렇게 해서 만 건 혹은 백만 건이 되면 그것도 큰 액수가 된다. 관리 규모가 크고 관리 체계가 허술했다고 하면 형사처벌에서도 벌금이 나올 수 있다”라고 했습니다.
글 / IT동아 정연호 (hoho@itdonga.com)