최근 대한민국은 통신, 금융, 플랫폼 기업을 막론하고 연이은 대규모 보안 사고에 직면하고 있습니다. KT의 불법 초소형 기지국을 통한 소액결제 침해, 롯데카드의 대규모 개인정보 유출, SKT 유심 해킹, 예스24 랜섬웨어 공격 등 일련의 사태는 수백만 국민의 개인정보가 언제든 무방비로 노출될 수 있다는 심각한 불안감을 조성했습니다. 이러한 상황에서 기업의 사고 대응과 원인 규명만큼 중요한 것은, "피해자들이 실질적으로 어떤 보상을 받을 수 있는가"에 대한 근본적인 질문입니다.
현재 국내에서 이루어지는 보상 조치는 대부분 환불이나 재발급 같은 최소한의 대응에 그치고 있어, 소비자들은 정신적 손해와 미래의 잠재적 위험에 대한 구제를 요구하고 있습니다. 본 보고서는 국내 보안 사고 보상 시스템의 구조적 문제점을 진단하고, 해외 사례와의 비교를 통해 소비자의 정보 주권을 강화할 수 있는 제도적 전환점을 모색합니다.
국내 기업 대응의 민낯: 위약금 논란과 '10만 원 배상'의 딜레마
KT 소액결제 사태, 책임의 경계를 시험하다
최근 KT는 불법 초소형 기지국(펨토셀)을 통한 소액결제 침해 사고 발생 후, 관리 부실을 인정하며 피해 고객에게 환불, 유심 교체, 무료 보험 등의 조치를 발표했습니다. 그러나 소비자들의 시선은 냉담했습니다. 특히 번호 이동을 원하는 고객에게 위약금 면제를 미루면서 신뢰를 잃었습니다.
이 문제는 단순한 서비스 차원의 문제를 넘어, 기업이 보안 사고의 책임을 어디까지 인정하는지에 대한 논쟁을 촉발했습니다. 앞서 유사 해킹 사태를 겪은 SKT가 통신 사업자로서의 안전한 통신 제공 책무 위반을 인정하고 위약금을 면제했던 전례가 있습니다. 국회와 정부 또한 KT가 안전한 통신 제공 의무를 위반한 것으로 확인될 경우 위약금 면제 조치가 당연히 이루어져야 한다고 지적했습니다. KT의 소극적인 대응은 기업이 보안 사고의 책임을 '단순한 금전적 피해'로 국한하려는 시도로 비쳤으며, 이는 기업의 책임 범위를 서비스 계약 전반으로 확대해야 한다는 정책적 압박을 가중시키고 있습니다.
법원의 일관된 판례: 정보 가치의 저평가
대규모 개인정보 유출 사건에 대한 국내 사법 시스템의 판단은 오랫동안 일관된 한계를 보여왔습니다. 2014년 카드 3사 유출 사건과 2016년 인터파크 유출 사건 등 주요 판례에서 법원은 기업의 과실을 인정하면서도, 실제 재산상 피해가 확인되지 않은 경우 피해자 1인당 10만 원 내외의 위자료(정신적 손해배상)만을 인정했습니다.
법원은 주민번호 등 민감한 정보 유출로 인해 정신적 고통이 발생했음을 경험칙상 인정했습니다. 하지만 10만 원이라는 배상액은 대규모 정보 유출로 인해 개인이 겪는 불안감, 신용 하락 위험, 신분 도용 방지 노력 등 비재산적, 미래적 손해를 극히 낮게 평가하는 것입니다. 이는 피해자가 소송을 제기할 실익이 없게 만들며, 기업에게는 보안 관리 소홀에 대한 비용(Risk Cost)이 극도로 낮아지는 구조적 실패의 상징이 되었습니다.
실질적 보상을 위한 제도적 전환: 입증의 장벽을 넘어서
소비자들이 단순 환불을 넘어 실질적인 구제를 받기 위해서는 집단소송제와 징벌적 손해배상제의 전면적인 도입이 필수적이라는 요구가 높습니다.
징벌적 손해배상제, 실효성 논란의 핵심
징벌적 손해배상제는 기업의 부당한 행위를 억제하고 재발을 방지하기 위해 실제 손해액보다 훨씬 높은 배상 책임을 부과하는 제도입니다. 금융 분야에서는 신용정보 유출 시 피해액의 3배까지 배상하도록 하는 법안이 추진되는 등 제도 도입이 확대되고 있습니다.
그러나 현행 추진되는 제도들은 치명적인 한계를 안고 있습니다. 징벌적 배상이 적용되려면 기업의 '고의 또는 중대과실'이 입증되어야 하는데, 기업 내부의 고의나 중과실 여부를 피해자 개인이 입증하는 것은 현실적으로 불가능합니다. 미국의 증거개시(Discovery) 제도와 같은 강력한 절차가 부재한 국내 법 환경에서, 이 입증 책임의 무게는 징벌적 손해배상제가 도입되더라도 그 실효성을 크게 떨어뜨리는 결정적인 장벽으로 작용합니다.
집단소송제 도입: 기업 윤리 경영의 강제력
집단소송제는 다수 피해자가 개별적으로 소송해야 하는 비효율성을 해소하고, 소송의 경제성을 확보하여 소비자 접근성을 획기적으로 개선합니다. 재계는 무차별적인 소송으로 기업 활동이 위축될 것을 우려하며 반대하지만, 옹호론자들은 이 제도가 오히려 보안 투자에 인색한 악의적인 기업에게 불이익을 주고, 준법 경영에 힘쓰는 '선량한 기업'은 인정받는 바람직한 기업 생태계를 조성할 것이라고 주장합니다.
집단소송제는 소비자의 권리를 집단적으로 실현하는 것을 넘어, 기업이 보안 투자를 단순히 비용이 아닌 생존 전략으로 인식하게 만드는 시장 규율(Market Discipline)을 확립하는 가장 강력한 수단입니다.
해외 사례 연구: 에퀴팩스 7천억 원 합의의 함의
국내 제도의 한계는 해외 선진국 사례, 특히 미국의 신용평가사 에퀴팩스(Equifax) 사건과 극명하게 대비됩니다.
미래 위험을 보상하는 새로운 패러다임
2017년 에퀴팩스는 해킹으로 약 1억 4천만 명의 핵심 개인정보(SSN, 신용카드 번호 등)가 유출되는 사고를 겪었습니다. 이 사건은 연방거래위원회(FTC) 등과의 합의 끝에 최대 7억 달러(약 7천억 원) 규모의 피해 보상으로 이어졌습니다.
보상 형태의 질적인 차이가 주목할 만합니다. 피해 시민들은 현금 보상 외에도 10년간의 무료 신용 관리 서비스를 제공받았으며, 개인 정보 복원 및 조사에 사용한 시간에 대해 시간당 25달러 기준으로 비용을 보상받았습니다. 에퀴팩스 사례는 한국의 '10만 원 위자료'와 달리, 유출로 인한 **10년간의 잠재적 위험(신용 감시)**과 피해 복구를 위해 소비자가 투자한 **시간과 노력(기회비용)**까지 손해배상의 범주에 포괄했다는 점에서 개인정보의 가치를 극대화하는 선진적인 보상 패러다임을 보여줍니다.
더 나아가, 에퀴팩스는 합의금 외에도 자체 사이버 시큐리티와 데이터 보안을 한층 더 강화해야 하는 의무적 보안 강화 조치를 강제당했습니다. 해외 규제 기관은 단순한 금전적 제재를 넘어, 기업의 근본적인 시스템 개선과 재발 방지 노력을 사법적 합의의 조건으로 강제한다는 점에서 강력한 억제력을 발휘합니다.
대한민국 정보보호 종합대책의 방향과 미래 과제
최근 통신·금융사의 잇따른 해킹 사고에 따라 정부는 범부처 차원의 '정보보호 종합대책'을 9월 말 발표할 예정입니다. 이 대책은 기업의 책임을 최소한의 조치에서 벗어나도록 이끌 중요한 전환점이 될 것입니다.
징벌적 과징금과 최고 경영진 책임 명문화
종합대책에는 기업이 개인 정보 유출 사고를 반복적으로 낼 경우 징벌적 과징금을 부과하는 내용이 포함될 전망입니다. 이는 민사소송에서 입증이 어려운 징벌적 손해배상 대신, 정부가 직접 막대한 금전적 제재를 가하여 기업의 보안 투자 회피를 원천적으로 막는 강력한 수단입니다.
또한, 개인정보 관리의 최종 책임이 기업 대표에게 있다는 점이 법령에 명문화될 계획입니다. 이는 보안 투자를 단순한 실무 부서의 비용 문제가 아닌, 최고 경영진의 핵심 의사 결정 영역인 '보안 거버넌스' 구축으로 끌어올리는 효과가 있습니다.
제도 개선의 최종 로드맵
결국 기업의 보안 사고 책임은 더 이상 해킹의 '피해자'가 아닌, 정보를 위탁받은 '정보보호 책임자'라는 패러다임으로 전환되어야 합니다. 기업이 보안을 소홀히 하면 신뢰를 잃을 수 있다는 위기의식을 가져야만 실효성 있는 보안 투자와 제도 개선이 가능합니다.
대한민국이 실질적 구제를 실현하기 위해서는 다음의 제도적 보완이 필수적입니다. 첫째, 행정적 강제력을 통해 징벌적 과징금을 즉각적이고 막대하게 부과해야 합니다. 둘째, 집단소송제를 전면 확대하여 소비자 접근성과 소송 경제를 획기적으로 개선해야 합니다. 셋째, 법적 입증 부담을 완화하기 위해 기업의 정보보호 안정성 조치 이행 여부에 대한 자료 제출 의무를 강화해야 합니다.
곧 발표될 정부의 종합대책이 해외 사례처럼 '미래 위험'을 보상하고, 기업의 책임을 금전적 환불이 아닌 근본적인 시스템 개선으로 이끌 수 있을지 국민들의 시선이 쏠리고 있습니다.