[팍스경제TV 한보람 기자]
(앵커) 숙박 애플리케이션 ‘여기어때’의 대규모 개인정보 유출 사태 이후 피해자들의 집단 소송이 이어지고 있습니다.
징벌적 손해배상제도가 도입된 이후 처음 제기된 소송이어서 배상액에 대한 관심도 커지고 있습니다.
관련해서 법무법인 세종의 강신욱 변호사와 이야기 나눠보겠습니다.
안녕하십니까. (안녕하세요.)
(앵커) ‘여기어때’ 해킹사고 개인정보 유출로 고객들이 집단 소송을 제기했습니다. 최근 중앙지법에 2차 소장을 접수했다는데. 일련의 과정을 간략히 설명해 주세요.
(강신욱) 지난 3월, 인적 사항을 알 수 없는 해커에 의하여 SQL-Injection 공격방식의 해킹으로 ㈜위드이노베이션이 운영하는 '여기 어때' 서비스의 숙박예약정보 및 회원정보, 제휴점정보가 유출되었습니다. 숙박예약정보 건수로는 320만 건, 중복 제거 시에는 91만명의 개인정보가 유출되었습니다.
방송통신위원회는 4월 26일. ‘위드이노베이션(여기어때) 개인정보 유출 침해사고 조사결과’를 발표했는데요. 방통위는 위원들이 합의를 하여 처분을 하는 합의제 기구입니다. 그런데, 그 뒤로 아시다시피 최성준 방통위원장이 지난 4월 6일 퇴임하였고, 5월초에 대선이 있었고, 7월 말에야 새 방통위원장이 지명되어, 8월 1일 취임을 하였습니다. 이제 곧 조사결과에 따른 행정처분이 이루어질 것으로 보입니다.
방통위의 조사결과를 기초로, 몇몇 변호사분들이 피해자들을 모집하여 집단소송을 제기하고 있는 것으로 보입니다. 개인정보 분야에서 집단소송제도가 도입되어 있는 것은 아니어서, 하나의 대리인이 많은 수의 원고를 모집하여 제기하는 소송이라, 소송법적으로는 단순한 민사상 손해배상소송 제기에 해당합니다. 1명의 피해자라도 자유롭게 소송을 제기할 수 있기 때문에 그 소송의 상대방인 ‘피고’ 여기어때 회사 담당자가 아니면 여기저기서 제기되는 민사소송 내역을 다 알기는 어렵습니다.
(앵커) 일각에서는 방통위가 후속조치와 보상을 외면하고 있다고 지적하고 있는데, 그 이유는요?
(강신욱) 방송통신위원회는 2017년 4월 26일 ‘위드이노베이션(여기어때) 개인정보 유출 침해사고 조사결과’를 발표하였습니다. 이에 따르면 방송통신위원회는 해당 업체의 개인정보 보호조치 위반 사항에 대하여 ‘정보통신망법’에 따라 과징금 부과 등 행정처분을 할 예정이라고 밝힌 바 있으며, 조속한 시일 내 관련 업계를 대상으로 개인정보보호를 위한 교육 및 기술적·관리적 보호조치 준수 여부에 대한 일체 점검을 추진할 계획이라고 밝힌 바 있습니다
통상 개인정보유출사건에 대하여 행정법, 형사적, 민사적 조치를 취할 수 있습니다. 국가(방송통신위원회)는 행정법상으로 과징금, 과태료 부과처분 및 시정명령 등을 부과하고, 수사기관은 법원을 통해 형사적 제재를 부과하게 됩니다. 그 외에 민사적 보상은 피해자인 국민들이 직접 법원에 손해배상청구를 하여야 합니다.
그러나 국가에 의한 행정법상 과징금 등 처분을 받는 것과 민사소송에 의하여 배상을 받는 것은 별개의 절차로 방송통신위원회가 사업자에 대하여 민사상 손해배상을 명령하는 것은 불가능합니다. 손해배상은 앞서 말씀드린 바와 같이 법원에서 판결을 통하여 명하는 것이고, 국가보상은 법령상 그 요건이 인정되는 경우에만 가능합니다. 따라서 방송통신위원회는 사업자인 위드이노베이션에 대한 과징금, 과태료 부과처분 및 시정명령 등 행정처분만을 할 수 있을 뿐, 피해자에 대한 배상 및 보상에 관여할 수는 없습니다.
다만, 일반국민이 사업자들의 개인정보유출사고에 관한 입증자료를 구비하기는 어렵기 때문에, 보통 행정제재나 형사제재가 선행하고, 거기서 나온 자료들을 가지고 민사소송을 제기하여 손해배상을 받게 되는 구조가 됩니다.
(앵커) 현행 정보통신망법 상 개인정보유출 등 사고가 발생했을 때 제재 수위는 어느 정도였나요? 앞서 지난해 인터파크 회원 정보 유출로 과징금 44억8000만원을 맞았기 때문에 ‘여기어때’도 자유로울 수 없을 것 같은데요.
(강신욱) 조사결과 개인정보보호에 관한 기술적·관리적 조치를 하지 아니하여 이용자의 개인정보를 유출된 사실이 밝혀지면 2년 이하의 징역 또는 2000만원 이하의 벌금에 처해질 수 있고 여기어때를 운영하는 법인도 양벌규정에 따라 같은 금액의 벌금형에 처해질 수 있습니다.
정보통신망법상 개인정보유출사건에 대한 과징금 부과범위는 “위반행위와 관련한 매출액”의 100분의 3 이하입니다. 2014년까지 100분의 1 이하였다가, 신용카드사 신용정보유출사건 이후로 법적제재의 기준이 강화된 것입니다. 법 개정 이후로 개인정보유출사고가 없다가 인터파크 사건이 발생하였고, 인터파크에 대하여 그 이전에 비하여 상당히 강한 과징금이 부과되었습니다.
그런데, 인터파크의 2016년 기준 연간 매출액은 4665억원입니다. 이와 비교해 볼 때, 지난해 여기어때 매출은 250억원 수준으로 방통위가 최대 규모 과징금을 부과하더라도 7억5000만원 수준의 과징금을 물게 되므로, 아무래도 매출액 규모가 작기 때문에 과징금의 규모는 인터파크에 비하여 낮을 것으로 전망됩니다.
(앵커) 방통위 ‘징벌적 손해배상’ 문제가 초미의 관심사입니다. 어떤 결과가 나올까요?
(강신욱) 인터파크 유출사건 이후로 정보통신망법에는 손해배상 제도가 대폭 강화되었는데, 사업자의 고의.과실이 없음을 사업자들이 입증하도록 하여 입증책임을 전환하였으며, 손해액의 3배까지 배상을 명할 수 있는 이른바 ‘징벌적 손해배상’ 제도(징벌적 손배제도는 2016년 3월 22일 신설)가 도입되었습니다. 아울러 2014년 신용카드사 정보유출 사건 이후부터 손해액 입증이 안되더라도 법원이 300만원 이하의 범위에서 손해배상을 명할 수 있는 법정손해배상제도가 도입된 바 있습니다.
우리 법원은 그 동안 개인정보 유출사건에 대하여 1인당 10만원에서 30만원 정도의 손해액을 인정해 왔기 때문에 같은 손해액을 인정할 경우, 징벌적 손배를 하더라도 1인당 금액으로는 30~90만원 수준이 인정될 것으로 보입니다. 물론 유출된 피해자 전원에게 배상할 경우 작지 않은 금액이 될 것입니다.
GS칼텍스 보너스 카드 회원의 주민등록번호 등 유출 사건에서 개인정보 유출만으로 정신적인 손해가 발생하였다고 보기 어렵다고도 판시한 대법원의 입장에서 손해액이 더 커질 가능성이 높다고 보기는 어렵습니다.
다만, 법정손배에서 법원이 재량으로 300만원 이하의 손해를 인정할 수 있기 때문에, 이 부분을 법원이 어떻게 인정할지가 관건이라 볼 수 있습니다.
