정보보호법 개정안 처벌수위 강화


[헤럴드경제]2014년 카드사 고객정보 대량 유출 사태 이후 국회는 앞다퉈 정보유출에 따른 처벌 수위를 높이는 법안을 쏟아냈다. 그로부터 2년, 1030만명의 고객정보가 유출된 인터파크 사태는 관련 법 개정안의 첫 시험대 격이 됐다. 징벌적 손해배상제 적용이나 최고경영자 징계 권고, 피해자 300만원 이하의 손해배상 등이 그 골자다.

29일 국회 의안정보시스템 등에 따르면, 카드사 고객정보 유출 사태 이후 19대 국회에선 개인정보보호법, 신용정보보호법, 정보통신망 이용 촉진 및 정보보호법 등이 모두 개정됐다. 모두 신용ㆍ개인정보 유출에 따른 처벌 수위를 강화하는 방안으로 개정된 법안들이다.

올해 3월 의결된 정보통신망 이용 촉진 및 정보보호법 개정안은 8개에 이르는 법안이 대안 반영된 최종 결과물이다. 신설된 제27조 4항, 32조 2항, 32조 3항 등에 따르면, 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 행위 등에 대해 징벌적 손해배상제를 적용하도록 했다. 피해자는 300만원 이하의 범위에서 손해액을 산정, 배상을 청구할 수 있다.

입증 책임도 업체 몫이다. 기존에는 피해자들이 직접 손해 여부나 규모를 입증해야 했지만, 이젠 업체가 과실이 없다는 걸 입증해야 한다는 뜻이다. 국회 미래창조과학방송통신위원회는 개정 취지에서 “현 손해배상제로는 개인정보 유출에 따른 피해를 방지할 수 있는지 실효성에 의문이 제기된다. 그 대안으로 징벌적 손해배상제를 도입, 서비스 제공자의 책임성을 강화하려는 것”이라고 밝혔다.

징벌적 손해배상제 외에도 방송통신위원회가 정보통신망법을 위반한 업체의 최고경영자 등 임원에 대해 징계를 권고할 수 있도록 하는 내용도 개정안에 포함됐다. 지난해 6월 국회를 통과한 개인정보 보호법 개정안도 처벌 규정을 한층 강화했다. 이 법에서도 징벌적 손해배상제가 포함됐다. 개인정보처리자의 고의 또는 중대한 과실로 개인정보가 유출될 때, 법원은 손해액의 3배가 넘지 않는 범위 내에서 손해배상을 정할 수 있다는 게 골자다.

인터파크 사태는 징벌적 손해배상제를 도입한 이후 대규모 개인정보가 유출된 첫 사례다. 개정안의 내용이 실제 처벌로 이어질지 관심이 쏠린다. 업체가 고의 또는 중대한 과실이 없다는 걸 입증할 때엔 징벌적 손해배상 등에 적용받지 않는다는 예외규정 때문이다. 인터파크 사태와 관련, 경찰청 사이버안전국과 정부합동조사팀은 지난 28일 “북한 정찰총국 해커로 발생한 일”이라는 입장을 내놨다. 인터파크의 과실 여부를 묻는 데에 중요한 변수가 될 전망이다. 

김상수 기자/dlcw@heraldcorp.com