[프라임경제] 10년 전인 2010년 1월15일은 사상 초유의 옥션 개인정보 유출에 대한 법원 판결이 나온 다음 날입니다. 이 판결로 온 나라가 떠들석했습니다.  

2008년 1월 발생한 '옥션 해킹사건'으로 당시 큰 논란이 일었는데요. 중국 발 해킹으로 전 국민 5분의 1에 달하는 1081만명의 개인정보가 유출됐기 때문입니다. 개인정보 유출 사고로 사상 최대인 14만6000여명의 소송인단이 원고로 이름을 올렸으며, 소송가액은 무려 1570억원에 달했습니다.

해당 사진은 본문 내용과 무관합니다. ⓒ Pixabay

해당 사건에 재판부는 옥션의 손을 들어줬습니다. 옥션이 해킹 뒤 재빨리 자진신고를 했으며, 회사 내부 과실이 아닌 중국 해커의 범행이기에 옥션에게 책임을 묻기 어렵다는 것이 이유였습니다.

결국 사건 발생 7년이 지난 2015년 2월12일 대법원에서는 최종적으로 옥션의 승소를 알리면서 마무리됩니다.

이러한 결과가 나온 배경에는 지금까지 해킹을 당한 기업 중 자진 신고한 곳이 옥션이 처음이라는 이유도 있는데요. 해킹을 당한 기업들이 집단소송을 두려워해 쉬쉬하며 덮어두기 일쑤였기 때문입니다.

재판부는 해킹 당시 옥션이 취했던 보안 조치와 해킹 방지 기술의 발전 정도, 해커의 해킹 기술 수준. 개인정보 유출에 따른 피해 정도 등을 종합적으로 고려해 판결을 내렸습니다.

당시 재판부는 "법적인 책임은 없다 하더라도 기업의 사회적 책임을 진다는 차원에서 개인정보가 유출된 회원들에 대한 특전 부여 등 적절한 조치를 하는 것이 바람직하다"고 옥션에 권고하기도 했죠.

이를 통해 국내 보안 기술의 허점이 드러났고, 기업에서는 이와 같은 피해가 없어야 한다며, 기업들이 보안에 대한 중요성을 인지하는 사건이었습니다.

향후, 옥션은 2010년 공지를 통해 유출 건수가 1081만건이 아닌 1863만건이라고 정정하기도 했습니다. 피해자 규모는 훨씬 많았던 것이죠.

◆10년간 끊이지 않는 기업의 '개인정보 유출'

그러나 10년이 지난 지금도 여전히 기업의 개인정보 유출 문제가 끊이지 않고 있습니다.

2011년 7월 말 SK커뮤니케이션즈 산하 포털사이트 네이트는 중국으로 추정되는 크래커에 해킹을 당해 약 3500만명의 개인정보가 유출됐습니다. 당시 싸이월드를 이용하는 대다수 국민들의 정보가 유출된 것이죠.

2013년 2월15일 서울서부지법 민사12부에서는 해킹 피해자 2882명이 SK커뮤니케이션즈를 상대로 낸 손해배상 청구소송에서 원고들에게 1인당 위자료 20만원을 지급하라고 판결했습니다. 2012년 4월26일 대구지법 역시 1심에 이어 2014년 2월 13일 항소심에서도 피해자에게 100만원을 지급하라고 판결했죠.

반면 서울서부지법 민사 12부, 대전지법, 서울중앙지법, 서울고등법원의 항소심 등 다른 10여개 법원 판결에서는 SK커뮤니케이션즈의 책임이 없다는 결론을 내리면서 법원 판단이 엇갈렸는데요.

이는 모호한 법 때문에 어디에 초점을 두느냐에 따라 다른 판단을 내리면서 발생한 문제입니다.

옥션과 네이트 외에도 GS칼텍스 약 1120만명, 2010년 2000만여건의 개인정보가 유출된 25개 업체에는 신세계몰, 아이러브스쿨, 보배드림, 대명리조트 등이 포함돼 있었습니다.

KT와 SKT, LG U+ 등 통신사는 물론, 넥슨, 국민카드, 농협, 롯데카드, 네이버, 티몬, 인터파크, 위메프 등 일일이 나열하기도 힘들 만큼 국내 많은 기업들이 개인정보 유출사례로 이름을 올리는 불명예를 안게 됐습니다.

◆솜방망이 처벌에 '개인정보 유출' 매년 증가

지난해 10월4일 국회 과학기술정보방송통신위원회 박광온 더불어민주당 의원이 방송통신위원회에서 받은 '정보통신망 개인정보 유출 현황'에 따르면, 개인정보 유출 신고시스템이 운영된 2012년 8월 이후 올해 8월까지 340차례에 걸쳐 총 7428만건의 개인정보가 유출된 것으로 조사됐습니다.

이 가운데 행정처분 받은 것은 6234만건으로, 부과된 과태료는 81억8381만원이었습니다. 건당 평균 과태료는 131원에 그친 것이죠.

4회에 걸쳐 2080만건의 개인정보가 유출된 사건에는 1억3460만원의 과태료가 부과됐는데요. 이는 건당 평균 과태료가 10원에 못 미치는 금액입니다.

그러나 개인정보 유출 건수는 2017년 434만 1635건에서 2018년 931만 3404건, 2019년 8월까지는 763만 2294건을 기록했는데요. 매년 급증하고 있는 유출 건수만 봐도 기업에서 문제의 심각성을 인지하지 못하고 있다는 결론이 나옵니다.

◆국내도 실효성 있는 법안 마련돼야

지난해 11월 한 토론회에서 토스를 운영하는 비바리퍼블리카의 신용석 정보보호최고책임자(CISO)는 "개인정보 유출사고 과징금을 대폭 상향하는 법률 개정이 필요하다"며 "개인정보유출은 기업에게 큰 리스크 란 말이 무색할 정도로 국내 처벌은 약했다"라고 답하기도 했는데요.

그는 "개인정보유출 과징금이 전체 매출의 4%가 된다면 기업은 보안에 대한 투자를 현재보다 10배 이상 하게 될 것"이라고 주장했죠.

현재, 국내 법에선 개인정보유출 '관련 매출' 또는 '해당 부문'의 3%만 과징금을 부과하고 있습니다. 국내 개인정보 유출 최고 과징금은 45억원인데요.

2018년 유럽은 50만명의 개인정보가 유출된 영국항공에 연 매출의 1.5%에 해당하는 2700억원을 과징금을 부과했고 미국은 고객 정치성향을 공화당에 판매한 페이스북에 6조원의 벌금을 물린 것에 비하면 매우 약한 수준이죠.

이러한 정부의 솜방망이 처벌이 국내 기업들의 안일한 대처를 키우고 있는 것 같습니다. 향후 국내법도 유럽의 개인정보보호법(GDPR)과 같이 강화한다면 실효성 있는 결과를 가져오지 않을까 싶습니다.