Q. 변호사님, 간단한 소개 부탁드립니다.
A. 안녕하세요. 법무법인 태율의 김상균 변호사입니다. 형사 사건을 중심으로 일하고 있고 사건마다 기록을 충분히 들여다보고 법정에서 다툴 부분과 인정할 부분을 명확히 구분하는 것을 기본으로 삼고 있습니다.
Q. 최근 대형 플랫폼에서 수천만 명 규모의 개인정보 유출 사건이 잇따르면서 이용자 불안이 커지고 있습니다. 이번 상황을 어떻게 보십니까?
A. 규모 자체가 주는 충격도 크지만 더 본질적인 문제는 이런 사건이 반복된다는 점입니다.
개인정보 보호 의무는 단순한 권고가 아니라 법적 책임의 영역입니다. 플랫폼이 수천만 명의 정보를 보관하고 있다면 그에 상응하는 보안 수준을 갖춰야 할 의무가 있습니다. 유출이 발생했다는 것은 그 의무가 충분히 이행되지 않았을 가능성을 시사합니다.
이용자 입장에서는 자신의 정보가 어디서 어떻게 쓰이는지조차 모르는 상태에서 피해를 입게 되는 구조입니다. 더구나 유출된 정보는 2차 피해로 이어질 수 있어 단순한 불편을 넘어 실질적인 피해로 번지는 경우도 많습니다.
결국 이번 사건은 플랫폼의 개인정보 관리 책임을 다시 한번 짚어보는 계기가 되어야 한다고 생각합니다.
Q. 개인정보 유출 사건에서 기업의 관리 소홀 여부는 어떤 기준으로 판단됩니까?
A. 개인정보보호법상 기업은 개인정보를 안전하게 관리할 의무를 집니다. 유출 사고가 발생했을 때 단순히 사고가 났다는 사실만으로 책임이 인정되는 것은 아니고 기업이 법에서 요구하는 보호 조치를 실제로 이행했는지가 핵심 판단 기준이 됩니다.
구체적으로는 암호화 조치가 적절히 이루어졌는지 접근 권한 관리가 제대로 되어 있었는지 외부 침입을 탐지하고 차단하는 시스템이 갖춰져 있었는지 등이 살펴집니다. 이런 기술적·관리적 보호 조치가 미흡했다고 판단되면 관리 소홀로 인정될 가능성이 높아집니다.
다만 모든 유출 사고가 기업의 책임으로 귀결되는 것은 아닙니다. 보호 조치를 충분히 갖췄음에도 고도화된 외부 공격으로 피해가 발생한 경우에는 책임의 범위가 달라질 수 있습니다. 결국 사고 당시 기업이 취한 보안 조치의 수준과 업계 표준 사이의 간극이 얼마나 큰지가 판단의 핵심이 됩니다.
Q. 개인정보 유출 사건에서 형사 책임과 민사 책임은 어떻게 나뉘며 기업이 실제로 부담하게 되는 법적 책임은 어떤 것들이 있습니까?
A. 두 책임은 목적과 성격이 다릅니다.
형사 책임은 국가가 기업이나 담당자를 처벌하는 영역입니다. 개인정보보호법은 안전 조치 의무를 위반한 경우 형사처벌 규정을 두고 있습니다. 고의로 개인정보를 유출하거나 제3자에게 제공한 경우에는 더 무거운 책임이 따릅니다. 다만 단순한 관리 소홀만으로 형사 책임까지 이어지는 경우는 상대적으로 제한적입니다.
민사 책임은 피해를 입은 이용자들이 기업을 상대로 손해배상을 청구하는 영역입니다. 개인정보보호법은 법정 손해배상 제도를 두고 있어 실제 피해액을 입증하기 어려운 경우에도 일정 범위에서 배상을 청구할 수 있습니다. 피해 이용자가 수천만 명에 이르는 경우 집단소송으로 이어지면 기업이 부담해야 할 규모는 상당히 커질 수 있습니다.
행정 제재도 빠뜨릴 수 없습니다. 개인정보보호위원회는 위반 사실이 확인되면 과징금이나 과태료를 부과할 수 있고 경우에 따라 시정명령도 내릴 수 있습니다.
결국 대형 유출 사건에서 기업은 형사·민사·행정 세 가지 책임을 동시에 마주할 수 있고 그 부담은 사안의 규모와 관리 소홀의 정도에 따라 크게 달라집니다.
Q. 개인정보 유출 피해 규모는 크지만 실제 배상을 받기까지 개별 이용자에게는 높은 장벽이 존재한다는 지적이 있습니다. 제도적으로 어떤 한계가 있다고 보십니까?
A. 현실적으로 개별 이용자가 배상을 받기까지의 과정은 생각보다 험난합니다.
가장 큰 문제는 피해 입증의 어려움입니다. 내 정보가 유출되었다는 사실과 그로 인해 구체적인 피해가 발생했다는 것을 이용자 스스로 증명해야 하는 구조입니다. 정보가 유출되었더라도 당장 눈에 보이는 피해가 없는 경우 손해액을 산정하기가 매우 어렵습니다.
법정 손해배상 제도가 있지만 그 금액이 현실적인 억지력을 갖추고 있는지도 의문입니다. 개별 청구 금액이 소송 비용에 비해 크지 않다 보니 이용자 입장에서는 소송을 감수할 유인이 줄어듭니다.
집단소송 제도의 한계도 있습니다. 국내에는 아직 증권 분야 외에 일반적인 집단소송 제도가 마련되어 있지 않아 피해자들이 개별적으로 소송을 제기해야 하는 부담이 있습니다. 피해자가 수천만 명이더라도 실제 소송으로 이어지는 비율이 낮은 이유 중 하나입니다.
결국 제도가 피해자 구제보다 기업 면책에 더 유리하게 작동하는 측면이 있습니다. 피해 입증 부담을 완화하고 집단적 권리 구제 수단을 강화하는 방향으로의 개선이 필요한 시점이라고 생각합니다.
Q. 해외 플랫폼에도 국내 플랫폼과 동일한 책임 기준을 적용하는 것이 현실적으로 가능하다고 보십니까?
A. 원칙적으로는 가능해야 하고 법적으로도 그렇게 설계되어 있습니다. 개인정보보호법은 국내 이용자의 정보를 처리하는 해외 사업자에게도 적용됩니다. 즉 플랫폼이 어디에 본사를 두고 있느냐와 무관하게 국내 이용자를 대상으로 서비스를 제공한다면 동일한 의무를 진다는 것이 원칙입니다.
다만 현실은 다릅니다. 해외 플랫폼에 대한 실질적인 제재와 집행은 여러 장벽에 부딪힙니다. 과징금을 부과하더라도 해외 법인을 상대로 이를 실제로 집행하기가 쉽지 않고 수사나 자료 제출 요구에도 협조를 강제하기 어려운 경우가 많습니다.
국내 대리인 지정 의무 제도가 도입되어 일정 부분 보완이 이루어지고 있지만 대형 해외 플랫폼의 실질적인 책임을 묻기에는 아직 한계가 있습니다.
결국 제도의 설계와 현실의 집행 사이에 간극이 존재하는 것이 지금의 상황입니다. 동일한 기준을 실질적으로 관철하려면 국제 공조와 집행 수단의 강화가 함께 이루어져야 한다고 생각합니다.
Q. 대규모 개인정보 유출 사건이 반복되지 않으려면 법·제도적으로 어떤 보완이 가장 시급하다고 보십니까?
A. 가장 먼저 짚어야 할 것은 사후 제재의 실효성입니다. 현재 구조는 유출이 발생한 이후에 책임을 묻는 방식인데 제재 수준이 기업이 감수할 만한 범위 안에 머문다면 예방 효과를 기대하기 어렵습니다. 위반으로 얻는 이익보다 제재가 훨씬 크다는 인식이 자리잡혀야 기업 스스로 보안에 투자할 유인이 생깁니다.
사전 의무의 강화도 필요합니다. 일정 규모 이상의 개인정보를 보유한 기업에 대해서는 정기적인 보안 점검과 취약점 공개를 의무화하는 방향을 검토할 필요가 있습니다. 문제가 생긴 뒤 수습하는 것보다 사전에 걸러내는 구조가 훨씬 효과적입니다.
피해자 구제 절차도 손봐야 합니다. 앞서 말씀드린 것처럼 피해 입증 부담을 완화하고 집단적 권리 구제 수단을 실질적으로 강화하지 않으면 제도가 있어도 피해자에게 닿지 않는 구조가 반복됩니다.
결국 기업이 개인정보를 소홀히 다루는 것이 감수할 수 없는 리스크라는 인식을 심어주는 것이 핵심입니다. 제재의 확실성과 피해 구제의 실효성이 함께 높아질 때 반복을 막을 수 있다고 생각합니다.
