2년간 6천만건 샜지만 개인정보유출 처벌 `0`

매일경제

"SK커뮤니케이션즈가 개인정보 유출을 방지하기 위한 보호조치 의무를 이행하지 않아 사고가 발생한 것으로 보기 어렵다." 23일 법원은 해킹에 따른 개인정보 유출 피해자 2847명이 SK커뮤니케이션즈(SK컴즈), 이스트소프트 등과 국가를 상대로 낸 5건의 손해배상 청구소송에서 모두 원고 패소 판결했다. 역대 최대 규모의 정보 유출 사건이었지만 과거 사건처럼 처벌을 받는 사람은 아무도 없었다.

전문가들은 개인정보에 대한 규제를 강화하지 않는 한 피해자는 넘쳐나고 책임을 지는 사람은 없는 기형적인 상황이 이어질 것이라고 경고한다.

실제로 최근 2년 동안 한국에서 유출된 개인정보의 총합은 6000만건에 달한다. 사실상 온 국민의 개인정보가 모두 해커들에게 '털린' 셈이다.

보안 전문가들에 따르면 중국에서 거래되는 한국인의 개인정보는 건당 30~50원. '비싸봤자 건당 100원'이라는 유통업자의 말은 한국인 개인정보의 현주소를 적나라하게 보여준다.

피해자는 있으나 처벌을 받는 사람이 없는 것은 우선 해커의 침입을 막기 위해 필요한 예방 조치가 관련 법률 등에 명확히 정해져 있지 않아서다. 유출이 발생해도 '할 만큼 했다'며 빠져나갈 수 있다는 것.

또 해커들이 외국인이거나 외국에 거주하고 있어 검거하기 어렵다는 점도 문제다. 가해자를 찾기 어렵다보니 처벌할 방법이 없는 셈.

현실적으로 개인정보 유출 사실을 피해자들이 알았을 때는 이미 유출이 발생한 지 한참 뒤라서 조사하기 쉽지 않다는 점도 처벌을 받는 사람이 없는 이유 중 하나다.

전문가들은 개인정보 유출 사고가 늘어나는 것을 막기 위해서는 △집단소송 △징벌적 배상제도 △사이트별 보안등급 개선 등이 필요하다고 조언한다.

박찬길 숭실사이버대 정보보안학과 교수는 "개인정보 보호 수위를 높이려면 유출된 기관에 대해 일벌백계의 선례가 필요하다"고 말했다.

임종인 고려대 정보보호대학원장은 형사처벌보다는 "미국식 집단소송, 징벌적 배상제도 등 민사적 책임을 확실하게 묻는 체계가 도입돼야 한다"고 주장했다. 그는 또 "각 기업의 신용도를 매기는 신용등급처럼 기업 보안등급제를 도입하는 것도 필요하다"고 강조했다.

[김명환 기자] [ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]

ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지