기업들의 개인정보 유출 사고가 매년 반복되는 가운데 그 원인이 솜방망이 처벌이라는 지적이 나오고 있다.
최근 종합숙박·액티비티 앱 여기어때를 운영하는 위드이노베이션에서는 이용자 이메일주소 유출 사고가 발생했다.
6일 IT업계에 따르면 위드이노베이션은 지난 2일 공지를 통해 “개인정보 이용내역을 통지하는 과정에서 이용자분들의 이메일주소가 유출됐음을 알려드린다”고 밝혔다.
그러면서 “개인정보 보호조치 강화 등 내부 정보보호 관리체계를 개선하고 특히 개인정보 이용내역 발송과 관련해 교육 및 메일 발송시스템 등을 정비해 추후에는 이와 같은 일이 발생하지 않도록 최선의 노력을 다하겠다”고 덧붙였다.
하지만 이같은 재발방지 약속에도 불구하고 기업들의 개인정보 유출 사고 문제는 매해 지속적으로 발생하고 있다.
참여연대에 따르면 2007년부터 2017년 사이의 개인정보 침해사례 44건을 분석한 결과 60억건이 넘는 개인정보가 유출되거나 무단 활용, 제공된 것으로 나타났다.
개인정보 침해사례는 개인정보를 대량 보유한 대기업 특히 통신, 카드, 금융회사에서 빈번히 발생한 것으로 조사됐다. 특히 무단사용판매 유형이 제일 높은 비중을 차지하고 있었다.
반면, 개인정보 침해사고에 대한 감독기관의 과태료, 과징금 등 행정적 제재는 매우 낮다는 평가가 높은 상황이다.
참여연대에 따르면 1억건이 넘는 개인정보가 유출된 카드 3사(국민카드, 농협카드, 롯데카드)의 경우 감독기관의 행정처분은 과태료 600만원 부과에 불과했던 것으로 파악된다.
또 일부 피해자들이 소송을 제기한다고 하더라도 피해를 구제받기 어려운 것으로 조사됐다. 법원은 해킹에 의한 정보유출의 경우 기업의 배상책임을 대부분 인정하지 않았다.
이에 따라 참여연대는 솜방망이 행정제재와 법원의 소극적 판결은 기업으로 해금 개인정보 보호와 보안에 투자할 유인을 낮춘다는 점에서 결국 반복되는 개인정보 침해사고의 주요 원인이라고 주장하고 있다.
이 가운데 최근 국회에서는 신기술 서비스를 위해 개인정보 규제를 완화하는 정보통신융합법, 산업융합법, 지역특구법이 통과된 것으로 알려졌다.
개인정보의 동의 없는 활용과 결합을 일반적으로 확대하는 개인정보보호법의 개정도 정기국회 때 주요한 쟁점이 될 것으로 전망된다.
이 문에 정보유출 사고 발생 시 기업에 현재보다 높은 손해배상 책임이 적용돼야 한다는 목소리도 나오고 있다.
한편, 미국이나 유럽 등 해외에서는 현재도 정보유출 사고가 발생할 경우 회사가 문을 닫아야 될 정도로 엄격한 수준의 징벌적 손해배상 책임이 적용되고 있다.
개인정보 유출 사고가 발생한 페이스북에 대해 유럽연합은 약 2조원에 달하는 벌금을 부과하는 방안을 검토했다. 야후 역시 개인정보 유출 사고로 인해 미국에서 막대한 벌금을 물어낸 바 있다.
이종혁 기자