[이코노미스트 박세진 기자] 올해 1~8월 민간기업이 개인정보보호위원회에 신고한 개인정보 유출 규모는 3038만건이다. 여기에 이번 쿠팡 개인정보 유출 3370만건을 더하면 단순 합계만 6000만건이 훌쩍 넘는다. 사실상 전 국민의 개인정보가 유출된 셈이다. 

사건이 터질 때마다 기업들은 사과문과 함께 1인당 수만원 수준의 배상금을 지급한다. 피해 규모 대비 처벌이 약하다는 것이 소비자들의 공통된 불만이다. 기업의 책임 구조가 좀처럼 바뀌지 않는 상황 속에서 '징벌적 손해배상'에 대한 목소리가 커지는 이유다.

500원짜리 개인정보

올해의 시작은 해킹과 함께였다. 지난 1월 GS리테일은 홈페이지 해킹 공격을 받았다. 이로 인해 고객 9만여명의 이름·아이디·연락처가 빠져나갔다. 전국 편의점·슈퍼 체인을 거느린 유통 대기업의 웹사이트 기본 보안이 뚫렸다는 점은 상징적이다. 2월에는 홈쇼핑 웹사이트에서 158만건의 개인정보가 유출되기도 했다.

4월에는 SK텔레콤에서 2324만명 가입자 정보가 한꺼번에 새어 나갔다. 외부 공격자는 탈취한 계정으로 내부 시스템에 접속해 이름·휴대전화 번호·생년월일 등을 가져갔다. 개인정보보호위원회는 다단계 인증 미적용, 계정 관리 부실 등을 이유로 1300억대 과징금을 부과했다. SK텔레콤의 1300억대 과징금을 유출 건수로 나누면 ‘1건당 500원 남짓’이라는 계산이 나온다. 

9월에는 금융과 통신이 동시에 뚫렸다. 롯데카드에서 297만명 고객 정보가 해킹으로 유출된 데 이어, KT는 불법 중계기(‘가짜 기지국’) 장비를 통해 약 2만명 가입자 통화·문자 관련 정보가 새어 나갔다. 지난 2014년 1억건 넘게 털린 카드 3사(국민·롯데·농협) 사태를 겪은 지 10년도 안 돼 비슷한 구도가 반복된 셈이다.

가상자산 시장도 안전지대가 아니었다. 11월 국내 최대 거래소 업비트에서는 400억원대 암호화폐 탈취 사고가 발생했고, 당국은 계정·인증 정보 2차 피해 가능성에 촉각을 곤두세우고 있다. 

같은 달 27일에는 쿠팡마저 당했다. 쿠팡은 고객 3370만건 유출을 인정했다. 이름·휴대전화번호·주소·이메일 등 기본 인적 정보가 대량으로 빠져나갔다. 무엇보다 논란이 된 건 ‘인지 시차’였다. 공격 발생 후 약 5개월이 지나서야 이상 징후를 발견했다는 사실이 알려지기도 했다.

얼마 지나지 않아 G마켓에서도 잡음이 발생했다. 업계에 따르면 지난달 29일 G마켓을 이용하던 소비자 약 60명이 본인 의사와 무관한 결제 내역이 발생했다며 금융감독원에 피해를 제출한 것으로 전해졌다. G마켓 측은 내부망 해킹이 아닌, 외부에서 유출된 고객 정보로 인해 발생한 일이라는 입장이다. 이에 대해 금감원은 실제 사실관계를 확인 중인 것으로 알려졌다.

징벌적 손해배상 ‘재점화’

해킹사고 수습 구조는 늘 비슷하다. 사고가 터지면 정부는 조사에 착수한다. 기업은 과징금을 낸다. 피해자는 각자 소송을 한다. 과징금은 전액 국고로 들어가고, 피해 배상은 개별 소송에 나선 이들에게만 돌아간다. 대다수의 피해자는 “어차피 받아봐야 몇만원”이라는 체념 속에서 소송을 포기한다.

물론 한국의 법적 테두리가 마냥 허술한 것은 아니다. 개인정보보호법은 기업이 법을 위반해 타인에게 손해를 입히면, 고의·과실이 없음을 스스로 입증하지 못하는 한 배상 책임을 지도록 하고 있다. 중대한 침해의 경우 손해액의 최대 5배까지 징벌적 손해배상을 물릴 수 있다는 조항도 이미 들어가 있다.

행정 제재도 마련돼 있다. 개인정보보호위원회와 과학기술정보통신부는 관련 매출액의 일정 비율(최대 3%)까지 과징금을 부과할 수 있다. SK텔레콤 사건에 대해 1300억대 과징금이 부과된 것도 이 조항에 근거한 조치다.

카드 3사(국민·롯데·농협) 대규모 유출 사태 이후 도입된 법정손해배상 제도 덕분에, 실제 손해액 입증이 어려운 피해자도 1인당 일정 한도 내에서 위자료를 청구할 수 있다. 제도만 놓고 보면, 한국이 ‘솜방망이 처벌 국가’로만 보이진 않는다. 문제는 이 장치들이 현실에서 얼마나 쓰이느냐다.

카드 3사 유출 사건에서 법원이 인정한 위자료는 1인당 10만원 수준이었다. 수천만명이 피해를 보았지만, 소송에 참여한 일부만 그 돈을 받았다. SK텔레콤 사건에서 분쟁조정위가 제시한 1인당 30만원 배상안은 회사가 거부했다. 이런 상황 속 매번 언급되는 것이 ‘징벌적 손해배상’이다. 징벌적 손해배상은 말 그대로 ‘실제 손해보다 더 많이 물리는 배상’이다.

우리 민법의 원칙은 손해가 난 만큼만 채워 넣는 전보(塡補)배상이다. 그러나 고의·중대한 과실로 대규모 피해를 낸 경우까지 같은 잣대를 적용하면 억제력이 떨어진다는 비판이 나왔다. 그래서 특정 영역만 법원이 실제 손해액을 기준으로 2·3배, 많게는 5배까지 배상액을 부풀려 책임을 묻도록 하는 제도가 징벌적 손해배상이다.

문제는 실효성이다. 법조계에 따르면 개인정보보호법상 징벌적 손해배상이 실제 판결에서 인정된 사례는 지금까지 사실상 없다. 이정렬 개인정보보호위원회 부위원장도 지난 2일 국회 질의에서 “지난 10년간 징벌적 손해배상 대상으로 인정된 사건이 있느냐”는 질문에 “없다”고 답했다.

그간 정치권과 학계에서는 “징벌적 손해배상 조항이 유명무실하다”는 비판이 쌓여왔다. 쿠팡 대규모 유출 이후 청와대와 이재명 대통령까지 이 조항을 직접 입 밖에 낸 것도 이런 맥락이다. 특히 이 대통령은 "징벌적 손해배상 제도를 현실화하는 등 실질적이고 실효적인 대책 마련하라"고 주문했다.

전문가들은 징벌적 손해배상을 두고 ‘손해액 입증’이 가장 큰 어려움이라고 지목했다. 개인정보 유출로 인한 손해액을 구체적으로 입증해야하는데, 이 부분을 개개인이 입증하기란 쉽지 않다는 것이다.

송태원 법무법인 해광 변호사는 “한국에도 징벌적 손해배상 규정 자체는 있지만, 실제 재판에서 제대로 적용된 사례는 거의 없다"며 "개인정보보호법처럼 손해액의 최대 3배까지 인정할 수 있는 조항이 있어도, 법원이 적극적으로 쓰지 않으니 사실상 ‘명목 규정’에 그치는 셈”이라고 말했다.

이어 “실제 손해배상을 받으려면 여러 요건을 모두 충족한 뒤 손해액을 구체적으로 입증해야한다”며 “계좌에서 돈이 빠져나가거나 카드가 도용되는 식의 2차 피해가 명백히 드러나는 경우가 많지 않고, 권리구제는 결국 재판부가 얼마나 손해액 입증을 폭넓게 인정하느냐에 달려있다”고 덧붙였다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지