[사설] 시늉뿐인 개인정보 유출 피해 구제책, 징벌적 배상이 답이다

개인정보 유출의 2차 피해 불안감이 커지는 가운데 정작 기업들의 피해자 구제책(救濟策)이 전혀 없다는 사실은 충격적이다. 보험 보장한도가 터무니없이 적어 적절한 보상은 불가능하고, 기업이 분쟁조정을 거부하면 긴 법정 다툼에서 이겨야 소액 배상을 받을 수 있다. 가입자 확보에만 혈안이 돼 정보 보안을 등한시(等閑視)해 온 기업들에 피해 규모에 걸맞은 보상을 강제할 법적 장치가 필요하다. 쿠팡이 가입한 '개인정보유출 배상보험'의 보장한도는 10억원이다. 배상 책임이 인정돼 10억원의 보험금이 나오면 1인당 30원씩 받는다. 2천300만 명의 개인정보가 유출된 SK텔레콤의 보험금 보장한도도 10억원으로 동일하다.

개인정보보호법은 개인정보 유출 관련 보험 가입을 강제하지만 최소 가입 한도는 10억원에 그친다. 가입자 1천만 명이 넘는 대기업도 10억원 보험에만 가입하면 법적으로 문제가 없다. 기업이 배상 관련 분쟁조정(紛爭調停)을 거부해도 아무 조치를 취할 수 없다. SK텔레콤은 피해자 1인당 30만원을 배상하라는 개인정보보호위원회 조정안을 거부했는데, 신청인들이 배상을 받으려면 민사소송 재판에서 이겨야 한다. 2, 3차 피해 우려 속에 책임 규명과 보상까지 길고 답답한 법정 다툼이 남아 있다. 쿠팡의 피해 조사 발표도 내년에나 가능할 전망이다. 박대준 쿠팡 대표는 지난 3일 피해 보상과 관련한 국회 질의에 "적극적으로 검토하겠다"고 답했지만 아무런 움직임이 없다.

전문가들은 징벌적(懲罰的) 배상 등 강력한 정책의 필요성을 언급한다. 유출된 개인정보를 악용한 피싱·스미싱 등 사이버 공격과 명의도용·계정 탈취 등으로 인한 추가 피해가 걱정스럽지만 기업들의 낮은 보안 인식 탓에 관련 보험조차 활성화하지 못했다. 보험업계는 보장한도를 실질적 배상이 가능한 수준으로 늘리고, 보험 가입률을 끌어올릴 규제책도 필요하다고 말한다. 그러나 보험과 배상은 사후 해결책일 뿐이다. 기업을 옥죄는 징벌적 배상이 아니라 보안을 극대화하는 촉매(觸媒) 역할을 해야 한다.