[이코노미스트 이병희 기자] 정보통신(IT) 기업과 금융사들이 해킹으로 내부자료가 유출되는 등 보안사고가 잇따르자 ‘솜방망이 징계’에 대한 비판이 커지고 있다. 문제가 발생해도 해당 기업은 대부분 무죄 판결을 받거나 처벌 수위가 낮아, 정보보호와 보안에 투자하기보다 차라리 과징금을 내는 편이 낫다고 판단하는 것 아니냐는 지적이다.

지난 23일 금융위원회는 권대영 부위원장 주재로 ‘긴급 침해사고 대응회의’를 열었다. 이날 회의에서 권대영 부위원장은 ▲최고경영진 책임 하 금융보안 역량 및 운영복원력 확보 ▲체계적 보안시스템 구축·운영 ▲소비자 피해 발생 대응 프로세스 마련을 요구했다. 금융사의 부주의로 침해사고가 발생할 경우 철저히 조사해 엄정 제재하겠다고 밝혔다. 금융사들이 업무·서비스 설계 단계부터 보안을 우선적으로 고려해 시스템 안전성을 확보하고, 체계적인 보안시스템을 구축·운영해 달라고도 했다.

하지만 금융당국의 이런 요구가 형식적인 것에 불과한 것 아니냐는 해석도 있다. 과거 대규모 개인정보 유출사고가 빈번히 발생했지만, 그때마다 기업들은 무죄 판결을 받거나 극히 일부만 유죄가 인정됐기 때문이다.

참여연대 공익법센터에 따르면 2007∼2017년까지 10년간 개인정보가 대량으로 유출되거나 오·남용된 대표적인 사례 44건을 분석한 결과, 공공과 민간영역에서 60억 건이 넘는 정보 유출이 발생한 것으로 나타났다. 유형별로는 무단사용·판매가 59억 건을 넘었고 해킹에 의한 유출도 1억7000만 건을 웃돌았다. 직원에 의한 유출은 1억2000만 건, 관리소홀에 따른 개인정보 노출은 2000만 건 수준이었다.

개인정보 침해 문제는 주로 대기업에서 발생했다. 통신업계, 카드업계, 금융업계를 비롯해 소프트웨어업체까지 업종을 가리지 않았다. 유출된 개인정보는 이름, 주민등록번호, 나이, 성별, 주소, 휴대전화번호를 포함해 계좌번호, 보험가입상품명, 대출액, 신용등급 등 금융거래정보까지 있었다.

문제는 이런 사고에 제대로 책임을 진 기업이 거의 없었다는 점이다. 2012년 KT에서 발생한 대규모 고객 개인정보 유출 사고에 대해 대법원은 2018년 12월 KT에 손해배상 책임이 인정되지 않는다고 최종 결론을 내렸다. 2012년 7월 KT 개인정보 유출사고는 해커가 KT 가입자 870만 명의 개인정보를 빼낸 사건이었다. 두 명의 해커가 고객 정보를 몰래 조회할 수 있는 프로그램을 만들어 이름과 주민번호, 고객번호, 사용 요금제 등 개인 정보를 탈취했다. KT는 약 5개월 동안 정보 유출 사실을 전혀 파악하지 못한 것으로 드러났다.

정보를 도둑맞은 KT 가입자들은 KT의 관리·감독 부실로 개인정보가 유출됐다며 1인당 50만 원의 손해배상금을 지급하라는 소송을 제기했다.

1심은 “망 내 데이터베이스에 주민등록번호와 같은 중요 정보를 암호화하지 않고 저장했다”며 “피해자에게 10만 원씩 배상하라”고 KT의 책임을 일부 인정했다. 그러나 2심과 대법원은 “KT가 개인정보 유출 방지에 관한 기술적·관리적 보호조치를 이행하지 않은 과실로 인해 사고가 발생했다고 보기 어렵다”며 KT 책임을 부정했다.

2014년 발생한 카드사 대규모 정보 유출 사태 때도 논란은 컸지만, 기업의 책임은 미미했다. 당시 KB국민카드, NH농협카드, 롯데카드의 고객정보 총 1억400만 건이 유출됐다.

KCB 직원이 카드사 시스템을 개발하는 과정에서 보안 프로그램이 설치되지 않은 개인용 PC로 개인정보를 빼돌리다 유출된 것으로 조사됐다. 고객의 이름과 주민등록번호, 카드번호 및 유효기간 등 총 20종에 달하는 정보가 포함됐고, 이 중 8000만여 건이 2차 유출돼 대출중개업자에게 넘어간 것으로 드러났다.

1심과 2심은 “카드사가 보안 의무를 다하지 않았다”며 정보유출 책임을 일부 인정했고, 대법원도 이 판단을 확정했다. “1인당 10만 원씩 지급하라”는 원심 판결이 그대로 유지됐다. 하지만 당시 소송에 참여한 인원이 9000여 명에 불과해, 카드사들이 실제 지급한 금액은 10억 원이 채 되지 않은 것으로 추정된다.

경제정의실천시민연합(경실련)은 최근 KT의 불법 이동기지국 해킹 사태와 관련해 “국민 안전을 위협하는 기업과 이를 방치한 정부에 더 이상 관용은 있을 수 없다”며 “정부와 국회가 관련 제도를 개선하고 통신 3사에 재발 방지를 위한 조치를 요구해야 한다”고 밝혔다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지