쿠팡 회원 3370만여명의 계정 정보가 유출된 것으로 나타나면서 온 국민의 개인정보가 사실상 공공재로 전락한 게 아니냐는 우려도 가중되고 있다. 개인정보 유출이 ‘일상화된 위험’이 된 상황에서 피해 고객들에 대한 손해배상마저 제대로 이뤄지지 않다 보니 기업들의 보안 강화와 재발 방지 조치도 느슨한 것 아니냐는 지적이 나온다.
1일 재계와 법조계에 따르면 지난 10여년 간 대규모 개인정보 유출 사건의 피해자들이 기업을 상대로 제기한 손해배상 집단소송은 대부분 원고 패소나 기업의 극히 일부 책임만 인정되는 수준에서 마무리 됐다.
2010년 이전에는 기업이 법에서 정한 보안 조치를 이행했다고 판단되면 아예 배상 책임을 묻지 않는 분위기가 우세했다. 2008년 인터넷쇼핑몰 옥션과 2011년 싸이월드·네이트 운영사 SK컴즈에서 각각 1080만건, 3500만건의 개인정보가 유출되는 사건의 발생했지만, 법원은 기업의 배상 책임을 인정하지 않았다. 내부자 소행으로 밝혀진 2008년 GS칼텍스 개인정보 유출 사건(1100만건)에서도 법원은 피해자들의 손을 들어주지 않았다.
2010년대에 들어서면서 기업의 과실 범위를 확대하고 배상 책임도 인정하는 추세로 바뀌었지만 여전히 개인정보의 가치는 ‘헐값’으로 책정되고 있다. 2014년 신용카드 3개사(KB·롯데·NH농협카드)에서 약 1억건의 개인정보가 털렸지만 이에 대한 배상 인정액은 1인당 10만원에 그쳤다. 2016년 인터파크, 지난해 모두투어 정보 유출 소송에서도 유사한 판결이 내려지며 국민 개인정보는 ‘1인당 10만원’으로 굳어지는 모양새다.
이런 배경에는 개별 데이터 자체로만은 높은 가치의 자산으로 인정하기 어렵다는 논리가 있다. 기업의 과실로 개인정보가 유출된 점이 인정된다 해도 이로 인해 파생된 직접적인 금전적 피해 등이 없다면 높은 배상액이 나오기 어렵다는 것이다.
하지만 정보보안 업계에서는 개인정보 유출의 무서운 점 중 하나가 ‘중첩성’이라고 강조한다. 업계 관계자는 “한 회사에서 해킹으로 수천만명의 데이터가 유출된다 해도 그 자체로는 파편적인 정보로서 큰 가치가 없을 수 있다”며 “그러나 십수년에 걸쳐 퍼즐 조각을 맞춰나가듯이 유출된 개인정보를 쌓아서 조합하면 개인에 대한 완벽한 신상명세가 만들어지는 것”이라고 말했다.
정보기술(IT)의 발달에 따라 ‘마이크로데이터’ 사용이 늘어나면서 이런 위험성이 더 커지고 있다는 우려도 있다. 가령 예전에는 이름·주소·주민등록번호 같은 단편적 데이터에 주목했다면, 최근에는 개인을 특정하거나 분석할 수 있는 생활패턴·모빌리티 데이터·전자상거래 이력 등까지 기업이 고객관리에 이용하면서 정보의 질과 정밀성이 훨씬 높아졌다는 지적이다.
김지훈 기자 germany@kmib.co.kr