국민일보

최근 대규모 개인정보 유출 사건이 잇따르고 있지만 고의로 정보를 유출한 경우를 제외하고 해당 업체가 사법 처리된 경우는 전무하다. 정보 유출로 인한 사생활 침해 가능성이 높은 만큼 개인정보를 부실하게 취급한 기업의 책임도 엄하게 물을 수 있도록 법률적, 제도적 보완이 필요하다는 주장이 제기되고 있다.

서울중앙지검 첨단범죄수사2부(부장검사 김석재)는 온라인 게임 '메이플스토리' 이용자 1320만명의 개인정보 유출 사건과 관련, 운영업체 넥슨에 대해 증거 불충분으로 무혐의 처분했다고 3일 밝혔다. 넥슨코리아 서민(41) 대표, 개인정보보호책임자(CPO), 실무자 등 3명도 혐의없음 결정을 받았다.

넥슨은 지난해 11월 백업 서버가 해킹돼 메이플스토리 전체 회원 1800만명 중 1320만명의 아이디와 이름, 암호화된 주민등록번호 및 비밀번호 등이 빠져나갔다. 경찰청 사이버테러대응센터는 지난 4월 넥슨이 회원 개인정보를 허술하게 관리한 혐의(정보통신망 이용촉진 및 정보보호법 위반)로 서 대표 등을 기소 의견으로 검찰에 송치했다. 해킹당한 기업이 개인정보 관리 소홀을 이유로 입건되긴 처음이었다. 당시 경찰은 "백신을 허술하게 갖추고 침입방지시스템을 별도로 운영하지 않는 등 기술적·관리적 조치 의무를 제대로 이행하지 않았다"고 밝혔다.

그러나 검찰의 판단은 달랐다. 검찰 관계자는 "해커 검거가 안 돼 어떻게 침입했고, 어느 망이 뚫렸는지 입증이 되지 않아 어떤 보호조치를 하지 않았는지 특정할 수 없다"며 "또 어느 정도 수준의 예방 조치가 적절한지 법령에 구체적으로 명시돼 있지 않아 처벌이 어렵다"고 설명했다.

정보통신망법 28조와 73조에 따르면 고객 개인정보 보호를 위해 기술적·관리적 조치를 하지 않았을 경우 2년 이하의 징역 또는 1000만원 이하의 벌금형이 내려질 수 있다. 하지만 이 규정 자체가 모호해 기소한다고 해도 공소유지가 힘들다는 게 검찰 설명이다. 이 논리대로라면 현재 경찰이 수사 중인 KT(870만명), EBS(400만명) 등 정보 유출 사건 역시 기업을 사법처리할 가능성이 낮아 보인다. 특히 대형 로펌을 방패막이로 삼는 대기업들의 법리 공세를 뚫기란 더욱 쉽지 않다. 정보유출 관련 소송을 수임했던 한 변호사는 "해커를 잡지 못했더라도 해킹 경로는 충분히 파악할 수 있는데 이를 이유로 무혐의 처리한 것은 이해하기 어렵다"고 말했다.

정부가 2008년 옥션 정보유출 사건 이후 개정한 관련 법 자체에 허점이 있다는 지적도 나왔다. 중앙대 법학전문대학원 이인호 교수는 "보호조치 행위를 처벌하려면 고의성이 있어야 하는데 규명이 쉽지 않다"며 "하위 법령을 만들어서 보호조치 위반 시 영업정지나 과태료, 시정 명령 등을 내린 뒤 형사 처벌을 하는 등 사안별로 세밀하게 규정할 필요가 있다"고 말했다.

한편 새누리당 김태흠 의원은 개인정보 유출 사고 발생시 신속한 보호가 이뤄질 수 있도록 하는 내용의 정보통신망법 개정안을 최근 발의했다. 개정안은 통신서비스 제공자가 침해사고의 구체적인 내용, 정보통신망 등의 장애 발생 상황 및 이용자가 취할 수 있는 보호조치 등을 이용자에게 즉시 알리도록 했다.

지호일 전웅빈 기자 blue51@kmib.co.kr

<goodnewspaper ⓒ 국민일보. 무단전재 및 재배포금지>