방통위는 지난 6일 10대 정책과제를 발표하며 이용자 피해구제 강화를 밝혔다. 내년부터 개인정보 유출사고 발생 때 실질적인 이용자 피해구제 및 사업자 책임 강화를 위한 제도 정비에 나선다는 계획이다.

이와 관련 사업자의 보호조치 미흡으로 인해 개인정보 유출 때 이용자 피해를 효율적으로 구제하기 위한 집단소송제도, 손해배상 보험·공제 가입 의무화 도입을 검토한다. 개인정보 유출 때에는 과징금 부과기준을 상향해 매출액 기반 과징금 또는 정액 과징금 중 높은 금액을 부과할 방침이다.

◆칼 꺼낸 방통위 “개인정보유출 기업 책임 높이고 이용자 피해 구제하자”=집단소송제도는 피해자 일부가 가해자를 상대로 소송을 하면, 다른 피해자들도 별도로 소송하지 않아도 해당 판결로 인해 구제받을 수 있는 제도다. 이는 미국식 집단소송제도 모델이다.

손해배상 보험·공제 가입 의무화는 개인정보유출 때 기업이 한 번에 거액의 배상금이 필요하니, 기업규모와 조건을 정해 적용 대상은 배상보험 가입을 의무화하는 방안이다. 유출사고 때문에 손해배상 청구가 들어왔을 때 일시에 자금이 부족하거나 피해구제 한계에 직면하는 상황을 예방하자는 것이다.

과징금은 현재는 관련 매출액의 3% 이하, 또는 산정이 불가할 경우 정액과징금 4억원(개인정보보호법의 경우 5억원)으로 명시돼 있다. 342만건의 정보를 유출한 여기어때는 직전연도 매출액으로 과징금을 산정하면서 과징금이 3억원으로 대폭 줄어 논란이 된 바 있다.

이런 문제를 방지하고, 스타트업 등 매출은 작지만 이용자 파급력이 최근 몇 년 사이 급격히 증가한 경우 등을 고려해 앞으로는 관련 매출액과 정액과징금 중 더 높은 금액으로 부과하겠다는 복안이다. 내년 5월 시행 예정인 유럽(EU) 일반 개인정보보호법에서도 연간 매출액의 4% 또는 2000만유로 중 높은 금액으로 부과하는 방식을 택했다.

천지현 방통위 개인정보침해조사과장은 “기존에는 개인정보 유출이 법적으로 입증될 경우 피해를 받은 사람들 중 소송에 참여한 이들만 구제 대상이 됐다”며 “집단소송제도가 도입되면 소송에 참여하지 않아도 동일한 피해를 받은 사람들에게도 소송결과의 효력이 미치게 된다”고 설명했다.

이어 “기업의 책임감을 강화하는 차원에서 진행했으며, 내년부터 의견수렴 및 법안 마련에 나서고 2019년경 법령개정을 계획하고 있다”고 덧붙였다.

◆집단소송제도에 누가 울고 웃나=방통위가 꺼낸 대책 중에서도 특히 주목할 부분은 집단소송제도다. 이 제도가 시행되면 개인정보 유출이 기업에게 미치는 영향은 더욱 커질 것으로 예상된다.

2015년 미국 민영 의료보험사인 앤썸(Anthem)은 7880만명의 정보를 침해, 최근 집단소송에 1억5000만달러(한화 약 1640억원)을 지급키로 합의했다. 불륜을 조장하는 온라인데이팅 사이트 애슐리메디슨도 지난 2015년 3700만명의 개인정보를 유출, 집단소송에 휘말렸고 지난 7월 1120만달러(한화 약 122억원)의 보상액을 제안했다.

김경환 민후 대표 변화는 “지금까지 많은 대책이 나왔지만 근본적 대안은 아니었지만, 미국식 집단소송이 도입되면 매우 파장이 클 것”이라며 “기업은 긴장할 수밖에 없고 개인정보 보호 시스템을 더 도입하게 될 것”이라고 말했다.

김 변호사는 “이용자에게는 좋은 제도이나 기업 입장에서는 반대가 거셀 것”이라며 “미국에서는 집단소송만 하는 변호사도 있는 만큼, 소송이 앞으로 굉장히 많아질 것으로 보이기 때문에 관련 시장이 형성될 수도 있다”고 덧붙였다.

보안업계도 반색했다. 기업들의 책임이 강화될수록 정보보안에 대한 시장도 커질 수 있다는 기대감 때문이다.

보안업계 관계자는 “개인정보보호 관련 인증이 의무사항이 아니다 보면 관련 컨설팅 비율이 매출에서 크지는 않았지만, 집단소송제가 시행되면 개인정보보호 컨설팅 시장은 크게 늘어날 것”이라며 “기업들은 보안 시스템 도입 및 확장 때 컨설팅부터 받는다”고 제언했다.

또 “컨설팅 수요가 늘어나면 보안 솔루션 및 서비스 등 여러 분야의 보안시장도 같이 확대될 것으로 보인다”고 예상했다.

반면, 기업들은 집단소송제도 도입의 신중한 판단을 요구했다. 제도 도입 후 늘어날 집단소송에 따른 피로감과 판결에서 패소할 경우 불어닥칠 막대한 손해에 대한 부담감 때문이다.

한 기업 관계자는 “침해사고의 경우, 유출의 책임 소재를 가리기 어려울 수 있는데다 악의적인 소송 남발로 인해 기업의 활동이 어려워지고 선량한 소비자가 피해를 입을 수도 있다”며 “부작용이 예상되는 만큼 신중한 판단이 필요하다”고 강조했다.

또 다른 기업 관계자는 “기업에게 철퇴를 가하는 만큼 개인정보를 취급하는 기업은 향후 보안에 대해 관심을 갖고 예산을 더 투자할 수 있다는 장점이 있다”며 “하지만, 피해 보상액이 눈덩이처럼 커질 수 있는 등 기업 입장에서는 너무 껄끄러운 제도인 것은 맞다”고 토로했다.

이어 “우려되는 것은 고객정보가 굉장히 많이 쏟아지며 빅데이터 기반 서비스들이 많아질 텐데, 비식별화 정보마저도 고객정보로 마케팅한다고 인식하는 경우가 있다”며 “빅데이터 산업 활성화를 해치지 않도록 균형 있게 정책을 운영해야 한다”고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr