[디지털데일리 이종현기자] 데이터 활용은 정보보호와 반비례한다. 많이 활용할수록 사이버 범죄자들의 공격 표면이 늘어난다. 올해 초 통과된 데이터3법(개인정보보호법·신용정보법·정보통신망법)으로 인해 개인정보보호가 취약해질 것이라는 이유도 이 때문이다.

정부는 데이터 활용과 개인정보보호라는 두 마리 토끼를 모두 잡기 위해 데이터 활용 기업에 대한 책임을 강화하는 방식을 채택했다. 개정법은 유럽연합(EU)의 일반개인정보보호법(GDPR)보다 강력한 처벌조항을 달았다.

최근 개인정보를 제대로 관리하지 못한 기업에 방송통신위원회(이하 방통위)가 잇따라 부과하는 과징금·과태료 처벌은 정부의 개인정보보호 의지를 드러낸 것으로 보인다. 이는 자신의 개인정보가 지켜지길 바라는 대다수 국민의 바람과도 일치한다.

하지만 최근 대법원의 인터파크의 과징금·과태료 판결을 보면 그 방향성에 의문 부호가 붙는다. 방통위는 2016년5월 2540만건의 개인정보를 유출한 인터파크에 과징금 44억8000만원, 과태료 2500만원을 부과했다.

인터파크는 2016년 5월 해킹 공격을 당해 고객 1,030만여 명의 개인정보 2,540만여 건이 외부로 유출되는 사건이 발생했다. 이에 방통위는 인터파크의 후속 조치 및 보안이 미흡했다는 이유로 44억 8,000만원의 과징금과 2,500만원의 과태료를 부과하고 재발 방지 대책을 수립하라는 시정명령을 내렸다.

이에 불복한 인터파크는 행정소송을 냈지만 1심과 2심에서 모두 패소했고, 대법원은 해당 사건을 ‘심리불속행’으로 기각해 방통위 처분이 확정됐다. 심리불속행 기각은 시사점이 적은 사건일 경우 대법원이 심리하지 않고 곧바로 상고기각을 할 수 있는 제도이다.

하지만 여기서 문제가 생긴다. 당초 인터파크에 부여된 과징금은 ▲개인정보처리시스템에 대한 접근통제 미비 ▲시스템 비밀번호 관리 소홀 등을 근거로 책정됐다. 하지만 실제 해킹과 직접적인 연관이 있는 것은 개인정보처리시스템에 최대 접속 시간제한 조치를 취하지 않은 것으로, 시스템 비밀번호 관리 소홀은 개인정보유출과 직접적인 연관이 없다.

재판부는 “유출사고가 난 이상 이것과 법위반행위 사이의 인과관계가 입증되지 않았더라도 과징금을 부과할 수 있다”고 판결했다.

하지만 이로 인해 정작 피해자들은 인터파크에 손해배상을 받지 못하게 될 수 있는 여지가 생긴다. 민법상 손해배상의 경우 ‘인과관계’를 입증해야 하는데, 행정소송에서 이를 입증하지 않았기 때문이다. “정작 피해자인 국민은 보상 못 받고 국가만 돈 챙긴다”는 볼멘소리가 나오는 이유다.

2540만건의 개인정보 유출로 45여억원의 과징금·과태료를 부과한 것이 과하다고는 할 수 없다. 해외에서는 이를 한참 뛰어넘는 사례가 드물지 않게 있다. 또 해당 건에 대해 손해배상청구가 진행될 경우 발생할 수 있는 최대치는 이를 한참 뛰어넘는다. 문제가 있다면 ‘절차’다.

개인정보 유출로 피해를 본 국민이 바라는 것은 ‘개인정보 관리를 소홀히 한 기업에게 막대한 과징금을 책정하는 것’이 아니라 ‘개인정보가 유·노출될 경우 직접적인 피해보상이 이뤄질 것’이다.

이런 시각으로 봤을 때, 과징금·과태료는 단순히 기업의 잘못을 질책하는 것에 그쳐선 안 된다. 조사권이 있는 국가가 해당 안건에 대해 자세히 들여다보고, 국민 개개인이 할 수 없는 입증 등의 문제에 적극적으로 나서야 한다. 하다못해 손해배상을 할 수 없도록 하는 엉뚱한 방향으로 전개돼선 안 된다.

<이종현 기자>bell@ddaily.co.kr