개인정보 유출 인터파크, ‘징벌적 손해배상’ 처벌대 오르나

[이뉴스투데이 이근하 기자] 인터파크 고객 1030만명의 개인정보 유출로 정보 보안 경각심이 보다 높아진 가운데, 인터파크에 대한 ‘징벌적 손해배상제’ 적용 여부에 관심이 모아지고 있다.

30일 업계에 따르면 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’(정보통신망법)의 ‘징벌적 손해배상제’가 25일부터 시행됐다. 이날은 인터파크의 정보 유출사고가 처음 공개된 시점이기도 하다.

올해 3월 의결된 정보통신망법 개정안은 개인정보를 분실‧도난‧유출‧위조‧변조 또는 훼손한 행위에 대해 징벌적 손해배상제를 적용한다.

징벌적 손해배상제도는 가해자의 행위가 악의적이고 반사회적일 경우 실제 손해액보다 훨씬 더 많은 손해배상을 하도록 한다. 이는 손해를 끼친 피해에 상응하는 액수만을 보상하는 보상적 손해배상제도와는 달리, ‘있을 수 없는 반사회적 행위’를 금지시키고 그와 유사한 행위가 재발생하는 것을 막기 위해 처벌의 성격을 띤 손해배상을 부과한다.

아울러 입증 책임은 더 이상 피해자들의 몫이 아니다. 그동안 피해자들은 직접 손해 여부나 규모를 입증해야 했지만, 이젠 업체가 과실이 없다는 걸 입증해야 한다.

국회 미래창조과학방송통신위원회 측은 “현 손해배상제로는 개인정보 유출에 따른 피해를 방지할 수 있는지 실효성에 의문이 제기된다”며 “그 대안으로 징벌적 손해배상제를 도입, 서비스 제공자의 책임성을 강화하려는 것이다”라고 개정 취지를 밝힌 바 있다.

이와 관련 인터파크의 이번 사태가 징벌적 손해배상제의 첫 적용 대상이 될 수 있을지 의문이 제기된 한편, 업계는 처벌 대상에서 제외될 가능성이 높다는 관측이다.

정보통신망법 시행안에 따르면 시행일 이후 분실‧도난‧유출‧위조‧변조 또는 훼손된 개인정보에 관한 손해배상 청구 분부터 적용한다는 부칙이 있기 때문이다. 인터파크의 정보 유출은 시행일로부터 약 2달 전인 5월에 발생한 것으로 알려졌다.

방통위 개인정보보호조사팀 관계자에 따르면 징벌적 손해배상제도 적용 대상이 되지 않을 것이라는 전망이다. 그는 “인터파크 사태 발생 시점은 징벌적 손해배상제 시행일인 25일 전으로, 적용 대상은 어려울 것이다”라고 내다봤다.

2차 피해가 발생했을 경우에 대해서는 “법원에서 판정할 문제일 뿐 행정상 옳고 그름을 판단하기 어렵다”고 답했다.

업체가 고의 또는 중대한 과실이 없다는 걸 입증할 경우 징벌적 손해배상 등에 적용 받지 않는다는 예외규정도 주목할 부분이다.

앞서 28일 경찰청 사이버안전국과 정보합동조사팀이 이번 사태에 대해 “북한 정찰총국 소속 해커들의 소행으로 강하게 의심된다”고 밝힌 만큼, 인터파크의 과실 여부의 변수가 될 수 있기 때문이다.

경찰 측은 해커들이 경제 제재로 외화벌이가 어려워지자 해킹으로 금전적 이익을 얻으려 했던 것으로 추정된다며 이 같이 전했다.

한편 인터파크 측은 입장 자료를 통해 “북한 소행으로 밝혀져 범인 검거가 어려워진 점은 안타깝게 생각한다”고 밝혔다.

이어 “이번 사고를 계기로 더 강력한 수준의 보안 시스템을 적용하고 고객 정보 보호를 위해 전면 개선할 것을 약속드린다”며 “고객의 소중한 정보를 지키지 못한 점은 사과드리며 정확한 원인 규명과 대책을 마련해 고객 신뢰 회복을 위해 노력하겠다”고 다짐했다.