|
|
정부가 개인정보 유출에 대해 강력한 피해구제대책을 검토하는 이유는 사고 근절이 어렵고 국민적 경각심은 갈수록 높아지기 때문이다. 정부의 한 관계자는 10일 "징벌적손해배상제도·배상명령제는 물론 그동안 국회에서 제기된 집단소송제·단체소송제·입증책임전환·법정손해배상제도 등 모든 대안을 검토하고 있다"고 밝혔다.
특히 정부는 금융회사뿐만 아니라 수차례 고객정보가 유출된 KT 등 통신회사를 비롯해 의료·공공 분야 등 전방위에 걸친 대책도 마련할 계획이다. 기업 입장에서는 개인정보를 대량으로 유출할 시 상한선이 없는 배상액을 부담해야 한다. 갈수록 지능화되는 해킹과 내부 직원의 정보유출 등 정보유출 가능성이 늘고 있지만 사태 이후 뒷수습이 더욱 어려워진 형국이다.
◇"많게는 100배까지 배상 가능"…기업들 전전긍긍=정부가 징벌적손해배상부터 배상명령제도, 집단소송제까지 도입을 검토할 수 있다는 입장을 피력하면서 기업들이 비상에 걸렸다.
시중은행의 한 관계자는 "1월 대책발표 때 당국에서 발표한 1% 징벌적 과징금만으로도 제재로서 그 효력이 충분하다고 생각했다"며 "하지만 제재의 수위가 갈수록 높아지는 것 같아 걱정이 많다"고 말했다. 특히 미국식 손배제까지 도입될 경우 기업들이 입는 피해는 막대하다는 게 금융계 등의 설명이다. 금융계의 또 다른 관계자는 "징벌적손해배상제와 집단소송제 등이 거론되고 있는데 만약 사고가 발생할 경우 기업은 막대한 금액을 배상해야 한다"면서 "미국의 경우 정보유출 사고가 발생하면 징벌적손해배상제도로 인해 기업이 손해액의 10~30배 많게는 100배까지 배상한다"고 말했다. 임종인 고려대 정보보호대학원 교수는 "미국의 경우 개인정보 공유를 허용하는 대신에 문제가 발생하면 소송을 통한 사후 보상 체제가 철저하고 이에 따른 보험제도도 잘 마련돼 있다"고 말했다.
이런 이유 탓에 정부는 그동안 국회와 시민단체가 요구한 대안에 대해 현행법 체계를 뒤흔드는 일이라며 강력하게 반대해왔다. 주로 미국 등 영미법에 기초한 이 같은 대안은 독일 등 대륙법에 가까운 우리나라 법체계와 다르기 때문이다. 정부의 한 관계자는 "우리나라의 법은 민사는 피해에 대해서만 결론 짓고 형벌에 관한 사항은 형사에서 다루도록 하고 있다"면서 "정부가 검토하는 대안은 대부분 민사에서 형벌까지 다루는 것이기 때문에 만약 전부 도입한다면 우리나라 법체계를 뜯어고쳐야 하므로 가능성이 낮고 경우에 따라 일부 예외적으로 도입할 수 있을 것"이라고 내다봤다.
징벌적손배제도나 배상명령제 등을 두고 신중했던 정부의 태도 변화가 감지된다. 현오석 경제부총리 겸 기획재정부 장관은 이날 "징벌적손해배상제나 배상명령제 등에 대해 검토를 하고 있다"고 공개적으로 밝혔다. 다만 "검토 과정에서 기존의 법, 소비자 피해에 따른 필요성 등 전반적인 균형을 잘 고려해야 하기 때문에 관련 부처와 협의는 물론 입법 과정에서도 협의가 이뤄져야 한다"는 전제를 달았지만 정부 내에서 충분히 검토할 수 있다는 것으로 해석된다.
만약 이런 제도가 도입될 경우 여파는 매우 클 것으로 전망된다. 정태명 성균관대 정보통신공학과 교수는 "그동안 해킹이나 정보유출 원인 대부분은 인재(人災)였다"면서 "징벌적손해배상제도 등을 도입하면 기업이 겁먹어서 정보보호에 투자하는 효과는 있다"고 설명했다.
◇겁주기 식 대책으로는 모자라 사전 대책 강화해야=사후처벌을 대폭 강화한 이번 대책은 반쪽짜리라는 지적도 적지 않다. 아무리 많은 규제를 하더라도 시시각각 늘어나는 해킹범죄를 막기는 사실상 불가능하기 때문이다. 한 정보보안 관계자는 "아무리 기업이 정보보호 예산을 늘린다고 하더라도 정보유출을 완벽히 막을 수 없다"면서 "기업은 10곳을 막아야 하지만 해커는 한 곳만 뚫으면 되기 때문"이라고 설명했다.
이 때문에 사전에 보이는 틈새부터 조기에 진화하는 방법이 현명하다는 게 학계의 지적이다. 정 교수는 "현실 세계의 범죄와 사이버상의 범죄는 다른 기준을 적용할 필요가 있다"면서 "카드사 정보유출 원인은 용역직원이 이동식저장장치(USB)를 가져갔다는 것인데 그 자체는 현행법상 중죄에 해당하지 않지만 그로 인한 여파는 큰 것처럼 사이버 공간상에서 작은 범죄가 가져오는 큰 여파를 감안하는 법 적용이 필요하다"고 강조했다.
또한 사고가 발생한 후 처벌을 강화하는 것도 중요하지만 사전에 발생하는 정보유출 정황을 처벌하는 것도 필요하다는 의견도 나온다. 교통법규에 범칙금을 부과하듯 사소한 정보유출 법규 위반에 대한 제한부터 실시해야 한다는 것이다.
