현재까지 개인정보유출과 관련된 집단소송에서 원고가 승소한 판례는 단 한건도 없다. 올해는 옥션 개인정보유출 관련 항소심(고등법원 2심)과, SK컴즈의 1, 2심이 재판부의 판결을 기다리고 있다.

개인정보보호를 위한 제도적인 보완이 대폭 이뤄졌지만 여전히 유사시 피해자들의 적절하게 피해를 구제받는 장치가 마련됐는지에 대해서는 논란이 많다.

현재 개인정보유출 소송에서 가장 큰 판단의 잣대가 되는 것은 ‘피고(개인정보 취급 사업자)가 정보통신망법 상 기술적, 관리적 보호조치를 취했는가’의 여부다. 최근 개인정보유출 사고를 낸 기업들은 이에 대한 조치를 취했기 때문에 과실이라고 보기 힘들다는 것이 재판부의 결론이다. 결국 기업들이 법에서 규정하는 조치만 제대로 취한다면 개인정보유출에 대한 책임을 면할 수 있다는 것으로 해석될 수 있다.

이와 관련 보안업계 관계자들은 앞으로 있을 개인정보유출 손해배상 소송에서도 피해자들이 승소할 수 있는 확률은 낮을 것이라고 예측했다. 다만 피해를 막기 위한 다양한 대책은 국가적 차원에서 강구돼야 한다고 강조하는 수준에 그치고 있다.

법조계의 견해도 크게 다르지 않다. 익명을 요구한 박 모 변호사는 “우리나라의 개인정보보호와 관련된 법안은 대체로 기업의 입장을 고려한 부분이 많다. 규제와 관련한 이슈만 잘 처리한다면 법적인 구속에서 자유로울 수 있기 때문”이라고 말했다.

정보통신망법 제28조1항에 의거 정보통신서비스 사업자들은 개인정보보호를 위해 내부관리계획 수립, 침입차단시스템 구축, 로그기록저장, 암호화, 백신SW 등을 운영해야한다. 이를 위반할 경우 매출액의 1% 이하에 해당하는 금액을 과징금으로 내야한다.

이를 다른 시각에서 접근하면, 정보통신망법에서 규정하는 개인정보보호 의무만 수행한다면 형사적인 처벌을 피할 수 있다는 것이다. 주의 의무를 다하면 처벌은 피할 수 있다는 것이다.

물론 박 변호사는 “다만 개인정보보호관리체계(PIMS), 정보보호관리체계(ISMS) 인증을 받았을 경우라 하더라도 해킹에 대한 면책은 주어지지 않는다는 점은 사용자의 입장에서는 다행인 일”이라고 말했다.

올해부터 기업들은 ISMS 인증을 무조건 획득하도록 정보통신망법이 개정됐다. 그러나 기업이 이를 획득해도 해킹 사고시 과실이 면책되는 것은 아니다.

그는“형사처벌에 대한 기준이 모호한 것도 문제지만, 손해배상에서 원고(사용자)가 입은 피해를 입증하는 것인 거의 불가능에 가깝다. 이에 대한 법원의 구제가 추가적으로 필요하다”고 강조했다.

실제로‘개인정보유출로 인한 피해를 입증하는 것’은 쉽지 않다. 디지털, 인터넷이라는 공간이 눈에 보이지 않을뿐더러 개인정보유출 사건으로 인한 피해를 입증하기가 어렵다.