최근 카드사에서 1억건이 넘는 개인정보가 유출됐다. 사상 최대라고는 하지만 크게 놀라운 소식은 아니다. 기자의 개인정보만 해도 이미 인터넷 쇼핑몰·보험사·은행·IT업체 등 다양한 업종의 기업을 통해 여러 번 샜다.
이로 인해 하루 최소 2~3번은 휴대폰 교환 권유, 보험 가입 유도, 대출 상담 전화와 e메일을 받고 있다. 최근에는 일명 '스미싱' 문자도 자주 온다. 고소를 당했으니 검찰청에 출두하라거나 청첩장이 도착했으니 확인하라는 문자를 볼 때마다 섬뜩한 기분이다. 하지만 해당 기업들이 피해 보상을 하리라곤 기대하지 않는다. 이미 수많은 기업들이 개인정보 유출과 연루된 소송에서 "피해 보상 책임이 없다"는 법원의 면죄부를 받았기 때문이다.
일례로 계열사 직원이 판매를 목적으로 GS칼텍스의 고객 정보를 유출한 사건에서 대법원은 "유출범들이 개인정보를 팔기 위한 사전작업 중 검거됐기에 피해의 우려가 없었다"는 이유로 GS칼텍스가 피해자들에게 손해배상을 할 필요가 없다고 판단했다. 옥션이나 네이트 등 해킹으로 인한 정보 유출 사건에 대해서는 더 까다롭다. "설령 피해가 있고 입증할 수 있다고 할지라도 기업이 법령이 요구하는 보완 수준과 조치를 하는 한 배상 의무가 없다"는 판결도 나왔다.
앞으로도 피해자들이 소송에서 이기기는 쉽지 않을 것으로 전망된다. 무엇보다 피해를 입증하는 일이 어렵다. 일례로 기자의 경우 이번 카드사 정보 유출 피해자에 해당한다고 할지라도 이 피해가 이번 사건으로 인한 것인지 지난번 정보 유출로 인한 것인지 어떻게 입증할 수 있다는 말인가.
물론 처벌이 능사가 아니듯 기업들에 무거운 책임을 지우는 것만이 올바른 해결책이라고 할 수는 없다. 그러나 개인정보 유출과 관련해 상황이 이렇게까지 오게 된 것은 지나치게 기업의 입장만을 고려했던 법원에도 상당 부분 책임이 있다. 개인정보 유출이 빈번해지던 초기에 단 한 번이라도 기업의 책임을 무겁게 묻는 판결이 나왔다면 상황은 분명 달라졌을 것이다.