개인정보 배상책임보험 의무화… 실효성은?

 
 
기사공유
  • 카카오톡 공유
  • 네이버 블로그
  • 카카오스토리
  • 텔레그램 공유
  • url 공유
한국소비자단체협의회 회원들이 개인정보 자기결정권 보장을 촉구하는 캠페인을 펼치고 있다. /사진=뉴스1

개인정보보호 배상책임 가입의무 기간이 한 달밖에 남지 않았다. 개인정보를 취급하는 사업자가 올해 말까지 해당 보험에 가입하지 않으면 과태료 2000만원을 부과한다. 기존 보험은 ‘유출’만 보상해줬지만 앞으로는 분실, 도난, 위조 등에도 책임을 져야한다.

개인정보가 유출됐을 때 기업의 과실이 밝혀지면 고객에게 배상책임의무를 진다. 보험사는 배상금 중 일부를 보상해준다. 다만 해킹처럼 과실 여부를 판단하기 어렵다면 기업이 배상책임을 지지 않는 경우가 다반사다. 이를 책임지는 보험 역시 무의미하다는 지적이 나오는 이유다.

한 예로 2014년에는 1억400만건에 달하는 개인정보가 유출되는 사고가 있었다. 당시 KB국민카드(5300만 건), NH농협카드(2500만 건), 롯데카드(2600만 건) 등 3곳의 카드사에서 고객이름, 주빈번호, 주거상황, 카드결제일 등 민감한 정보가 새어나갔다.

유출사건은 앞서 2013년 KB국민카드가 KCB(코리아크레딧뷰로)와 진행한 FDS(부정사용방지시스템) 업그레이드 과정에서 발생했다. 당시 KB국민카드에 파견 근무를 나갔던 KCB 소속 개발인력 직원 박모씨가 USB를 이용해 개인정보를 무작위로 내려 받은 것. 박씨는 유출한 정보를 대출중개업자 측에 넘겼고 이 정보는 대출상품 판매를 위한 판촉 등에 활용된 것으로 밝혀졌다. 박씨는 KB국민카드 이외에 다른 카드사(NH농협카드, 롯데카드)의 개인정보도 유출한 것으로 드러났다.

이후 관련 손해배상 소송에서 대법원은 “1인당 10만원씩 배상하라”는 하급심 판결을 연이어 확정하고 있다. 올해 8월2일 대법원은 피해자 가모씨 등 584명이 KB국민카드와 KCB를 상대로 낸 손해배상 청구소송 상고심에서 “원고당 10만원씩 지급하라”고 선고한 원심을 확정했다.

◆매년 정보유출 7만건… 보험이 가입 의무화

세계 주요국가에서 데이터 유출 사고로 발생하는 평균 비용은 약 400만달러(약 47억원)다. 국내의 경우 정보유출 관련 사고접수는 매년 7만여건 이상 발생하고 있다.

이처럼 개인정보 유출에 의한 소비자 피해가 커지자 정부는 개인정보를 취급하는 사업자에 대해 개인정보 손해배상 책임보험 가입을 의무화했다. 개인정보 유출 등으로 국민에게 손해가 발생한 경우 사업자가 손해 배상을 보상해주는 제도로 올 6월13일부터 시행됐다. 올해 연말까지는 해당 제도 도입에 따른 혼란을 줄이기 위해 계도기간을 부여한다.

개인정보 손해배상책임보험 가입 대상은 ▲온라인을 통해 영리목적으로 서비스를 제공하는 사업자(정보통신서비스제공자)와 ▲정보통신서비스제공자로부터 개인정보를 제공받은 자 ▲방송법에 따른 방송사업자 등이다.

방송통신위원회는 개인정보 손해배상 책임보험 가입의무 대상자를 직전 사업연도의 매출액이 5000만원 이상이고 전년도 10~12월 기준으로 개인정보가 저장·관리되는 일일평균 이용자수가 1000명 이상인 정보통신서비스 제공자로 정했다.

/자료=방송통신위원회

보험 또는 공제에 가입하거나 준비금을 적립할 때 최저 가입금액은 사업자별 이용자수와 매출액에 따라 차등해 최저 5000만원에서 최고 10억원으로 정했다. 현장 혼란 최소화와 제도 도입 안착을 위해 올해 말까지 계도기간을 운영해 과태료 부과 등은 유예한다. 계도 기간은 필요 시 연장할 수 있다. 방통위는 올해 말까지 조치를 취하지 않을 경우 과태료 2000만원을 부과할 예정이다.

방통위 관계자는 “계도 기간이 종료되는 오는 2020년부터는 집중 점검을 통해 위반사업자들에게 2000만원의 과태료 부과 등 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에 규정된 제재도 진행할 계획”이라고 강조했다.

의무가입기간이 다가오면서 보험업계에서는 관련 보험 상품을 출시하는 동시에 의무화 대상 협회와 가입 협약을 맺고 있다. 한화손해보험은 정보통신, 전기통신 사업자 등 콘서트사의 440여개 회원사들이 책임보험 가입을 진행하고 소비자 피해 구제제도의 조기정착을 위해 합의했다. 메리츠화재 역시 인터넷기업협회, 보맵과 업무협약을 맺어 책임보험을 판매할 예정이다.

◆보장 확대됐지만… 실효성은?

책임보험이 의무화되면서 보장도 확대됐다. 기존 상품은 개인정보 유출에 대한 배상책임만 보장했지만 앞으로는 ▲분실 ▲도난 ▲위조 ▲변조 ▲훼손에 대해서도 보장한다. 다만 해킹으로 정보가 유출된 사건에서는 기업의 배상책임이 대부분 인정되지 않아 유명무실한 보장이라는 지적도 나온다.

해킹으로 발생한 개인정보 유출사건은 길고 복잡한 소송절차에 비해 배상판결까지 받는 사례가 극히 드물기 때문이다. 역대 개인정보 유출사건 집단소송을 살펴보면 2008년 옥션 사건(피해자 1081만명)은 1·2심에 이어 최종적으로 대법원 판결까지 갔지만 "회사의 손해배상 책임이 없다"는 결론이 났다. 2011년에 벌어진 네이트와 싸이월드의 개인정보 유출 사건은 피해자가 3500만명에 달했지만 피해자들은 당시 서비스를 운영하던 SK커뮤니케이션즈로부터 아무런 보상을 받지 못했다.

4년이 흐른 뒤인 2015년 서울고등법원은 “법령에서 정하는 기술적·관리적 보호 조치를 SK커뮤니케이션즈가 다했다고 인정된다”고 판단했다. 사이버 범죄의 특성상 정보의 정확한 유출 경로, 피해와 정보유출 간의 인과관계를 입증하기 힘들기 때문이다.

의무화 당시 보험업계 역시 상품 개발에 회의적인 의견이 많았다. ‘이미 있는 보험인데 새로운 상품을 개발할 필요가 있나‘는 이유에서다. 가입 의무화 대상 기업이 보험가입 외 준비금 적립 방식도 선택 가능해 수익성에 대한 기대도 크지 않다. 가입 추정 사업자 수를 반영한 연간 보험료 규모는 약 305억원에 불과하다.

보험업계 관계자는 “배상책임 보험은 법원 판결이 나와야 보상이 가능한데 정보 유출의 경우 회사 과실을 밝히기 힘든 경우가 많다”며 “기업들이 능동적으로 개인정보 유출 방지를 노력하고 개인정보보호에 힘쓰는 분위기가 조성되기를 바란다”고 설명했다.

☞ 본 기사는 <머니S> 제621호(2019년 12월3~9일)에 실린 기사입니다.
 

심혁주 simhj0930@mt.co.kr  | twitter facebook

금융팀 심혁주 기자입니다.

이 기자의 다른기사 보기 >
  • 0%
  • 0%
  • 코스피 : 2332.59하락 56.818:01 09/22
  • 코스닥 : 842.72하락 24.2718:01 09/22
  • 원달러 : 1165.00상승 718:01 09/22
  • 두바이유 : 41.44하락 1.7118:01 09/22
  • 금 : 41.63하락 1.3918:01 09/22
  • image
  • image
  • image
  • image
  • image

커버스토리

정기구독신청 독자의견