한국선 1인당 10만~30만원 그쳐...집단소송제 등 소비자 피해 구제책 마련해야
[서울=뉴스핌] 남라다 기자 = 쿠팡 개인정보 유출 사태가 발생한 지 1주일이 지났으나, 소비자들의 불안은 좀처럼 가라앉지 않고 있다. 유출된 정보가 보이스피싱·스미싱 등 2차 범죄로 이어질 수 있다는 우려에 더해, 복잡하고 불투명한 피해 배상 절차가 소비자들의 불안을 더욱 가중시키고 있다.
이번 쿠팡의 대규모 정보 유출을 계기로 개인 소비자 보호 제도의 구조적 한계가 다시 한 번 수면 위로 떠올랐다는 평가가 나온다. 통신사·금융사·유통 플랫폼 등 업종을 가리지 않고 유사한 정보 유출 사고가 반복되고 있음에도 또다시 재발하는 근본 원인은 기업 책임을 실질적으로 묻기 어려운 현행 제도적 허점에 있다는 분석이다.
◆해외는 1조 이상의 과징금 부과…한국과 온도차
9일 보안·유통업계에 따르면 유럽연합(EU)·미국 등 해외 사례와 비교하면 국내 개인정보 보호의 제도적 허점은 더욱 뚜렷하게 드러난다.
실제 미국과 EU는 과징금 규모뿐 아니라 징벌적 손해배상과 집단소송 제도까지 갖춘 법·제도적 장치를 통해 개인정보 유출 사건에 대해 강력한 책임을 묻고 있었다.
EU는 지난 2018년 5월 일반개인정보보호법(GDPR) 시행을 알렸다. GDPR에 따르면 개인정보 유출 사고가 발생할 경우 신속하게 감독기관에 신고해야 한다. 특히 개인정보 유출 정도가 심각할 시 72시간 이내에 감독기관에 통보하도록 의무화했다. 이 규정을 위반할 경우 글로벌 매출의 4%까지 벌금을 부과할 수 있다.
실제 올해 5월 아일랜드 개인정보보호위원회(DPC)는 EU 이용자 개인정보를 중국으로 전송한 혐의로 틱톡에 5억3000만 유로(한화 약 8400억원) 과징금을 부과했다.
DPC 측은 "틱톡은 중국에 있는 직원들이 EU 지역 이용자들의 개인정보에 원격 접속하지 못하도록 적절한 보호 조치를 취하고 있다는 사실을 입증하지 못했다"고 배경을 설명했다. 또 DPC는 틱톡이 6개월 이내에 시정하지 않을 시 중국으로의 데이터 전송을 전면 중단해야 할 것이라고 경고했다.
이 뿐만 아니다. 지난 2021년에는 아마존이 EU로부터 7억4600만 유로(당시 한화 1조200억원)이 과징금을 부과받은 바 있다. 당시 역대 최대 과징금 규모로 알려졌다. 아마존이 이용자의 명시적 동의 없이 개인 정보를 활용해 맞춤형 광고를 제공한 행위가 적발된 데 따른 것이다.
미국 역시 EU와 상황은 크게 다르지 않다. 개인정보 유출 사고가 발생하는 즉시 집단소송과 징벌적 손해배상 절차가 동시에 가동된다. 일부 피해자가 기업을 상대로 소송을 제기해 승소할 경우, 소송에 참여하지 않은 피해자도 동일한 배상을 받게 되는 구조다. 이 때문에 사고 한 번으로 수천억~조 단위 비용을 부담하는 사례가 적지 않다.
실제 미국의 소비자 신용평가사인 에퀴팩스(Equifax)는 2017년 해킹 공격으로 미국 성인 절반이 넘는 1억4300만명의 신용정보 유출 사고를 겪었다. 이후 에퀴팩스는 미국 연방거래위원회(FTC)와 최대 7억 달러의 피해자 보상금을 지급하기로 합의하기도 했다.
미국 3대 이동통신사 중 하나인 티모바일(T-Mobile)은 2021년 전·현 고객과 잠재 고객 7660만명 이상의 이름, 생년월일, 사회보장번호, 운전면허증 번호 등 민감한 신용정보를 대규모로 유출했다. 이후 집단소송 끝에 T모바일은 총 3억5000만 달러(약 4590억원) 배상에 합의했고, 고객들은 피해 규모에 따라 1인당 최대 2만5000달러(약 3200만원)의 보상을 받게 됐다.
◆수천만건 정보유출에도 소비자 피해배상은 찔끔
반면 한국의 현실은 EU와 미국 사례와 상당한 차이를 보이고 있다. 개인정보가 대량 유출되더라도 과징금 규모가 작아 재발을 막기에는 역부족이라는 지적이 끊이지 않는다. 징벌적 손해배상 제도가 법률상 도입돼 있음에도, 현실에서는 아직 단 한 차례도 실질적으로 작동한 전례가 없는 상황이다.
징벌적 손해배상제는 2014년 카드3사 대규모 정보 유출 사건을 계기로 2015년 도입됐다. 개인정보보호법은 개인정보처리자의 고의 또는 중대한 과실로 개인정보가 도난·유출돼 피해가 발생하면 손해액의 최대 5배까지 배상할 수 있도록 규정하고 있다. 그러나 법 조항에 "개인정보 처리자가 고의 또는 중과실이 없음을 증명하면 적용하지 않는다"는 단서가 달리면서 기업 측에 사실상 책임 회피의 퇴로를 열어줬다는 비판을 받아왔다.
집단 소송제도 역시 실효성이 낮다는 평가도 있다. 피해자가 직접 피해를 입증해야 하는 구조인데, 기업 내부 자료에 접근하기 어려워 실제 손해배상으로 이어지는 사례가 극히 드문 탓이다. 사고 은폐 여부를 강제적으로 추적할 조사권도 제한적이다. 법원이 기업의 과실을 인정할 경우 1인당 배상액은 10만~30만 원 수준에 그치는 경우가 대부분으로, 미국 등 해외 주요국과 비교하면 매우 낮은 수준이다. 기업의 개인정보 보호에 대한 낮은 책임 인식과 안일한 대응을 부추기고 있다는 지적이 나오는 이유다.
 |
일례로 개인정보보호위원회 분쟁조정위원회는 SK텔레콤 측에 유심(USIM) 정보 유출 사태 피해 고객 3998명이 접수한 분쟁 조정 신청 사건에서 '피해자 1인당 30만원을 지급하라'는 조정안을 내놨다. 그러나 SK텔레콤은 1인당 30만원 조정안조차 거부했다. 당국의 조정안을 받아들이는 것이 오히려 불합리하다는 판단에서다. 해당 조정 신청인은 전체 가입자의 약 0.02% 수준에 그친다. 이를 전체 피해자 2300여만명에게 적용할 경우 총 배상액은 7조원에 육박한다. 이 배상액을 SK텔레콤이 모두 감당할 경우 막대한 손실을 떠안아, 적자 전환이 불가피하다.
또 정부가 부과하는 과징금 역시 한계가 분명하다. 앞서 정부가 지난 4월 발생한 SK텔레콤의 개인정보 유출 사고와 관련해 1348억원의 과징금을 부과한 것이 역대 최대 규모다. 이는 SK텔레콤의 지난해 연매출 17조9400억원의 약 1% 수준에 불과했다. 현행법상 연매출의 최대 3%까지 과징금을 부과할 수 있도록 규정돼 있지만, 실제 행정 처분은 법정 상한선에 한참 못 미치는 수준인 것이다. 2023년 7월 30여만건의 고객 정보를 유출한 LG유플러스는 68억원을, 지난해 이용자 개인 정보 6만5000건 유출된 카카오는 151억원의 과징금을 각각 부과받는데 그쳤다.
또 과징금은 사고 발생 후 시정조치에 따라 줄어들 여지가 존재하는데, 이마저도 일반회계로 편입돼 국고로 귀속된다. 피해자에게 직접 돌아가는 보상과는 무관한 구조다.
전문가들은 이 같은 제도적 허점이 기업의 보안 투자 유인을 근본적으로 약화시키고 있다고 판단한다. 해외처럼 개인정보 유출 사고가 발생하면 기업 존폐를 뒤흔들 정도의 재무적 리스크로 인식돼야, 반복적인 사고를 막을 수 있다는 시각이다. 그러나 한국에서는 개인정보 유출이 발생해도 행정 과징금과 제한적인 민사 책임에 그치면서 구조적 재발 위험이 해소되지 않고 있다는 의견이 지배적이다.
업계 관계자는 "과징금을 피해자 구제 재원으로 활용하고, 집단소송과 징벌적 손해배상을 실효성 있게 손질하지 않는 한 제2, 제3의 쿠팡 사태는 반복될 수밖에 없다"고 말했다.
nrd@newspim.com
