[보안뉴스 호애진] 최근 개인정보보호에 대한 중요성이 커지면서 기업의 사회적 책임이 강조되고 있다. 이에 발맞춰 최근 법원도 배상책임을 적극적으로 인정하는 경향을 보이고 있다.

특히, 배상책임 인정 시 다수의 피해자에 대한 배수의 손해배상 책임이 가능해졌고, 천문학적 액수의 배상책임으로 인해 기업은 존폐위기까지 제기되고 있다.

18일 엘타워에서 개최된 제6회 금융정보보호 컨퍼런스에서 이준희 김앤장 법률사무소 변호사는 ‘최근 정보보호 사고와 배상책임에 관한 사례 및 판결’이라는 주제의 강연에서 이같이 밝히고, 금융기관의 상향된 선관주의 의무를 강조하며 기업의 대처방안 등을 제시했다.

최근 정보보호 사고에 대한 위자료 배상책임이 인정된 사례로는 2005년, N게임사가 이용자 약 40만명의 ID/PW를 유출해 각 10만원을 배상한 바 있으며, 이듬해 A 은행이 고객 32,377명의 성명/주민번호/이메일 주소를 유출해 각 20만원 혹은 10만원을 배상했다.

또한, 2006년 L전자가 입사지원자 3,000명의 입사지원서를 유출해 30만원을, 2008년 S통신사가 이용자 51만명의 개인정보를 마케팅으로 활용해 각 20만원 혹은 10만원을 배상했다.

이와 같이 손해배상 책임이 인정되는 경우는 일반 불법행위의 성립요건인 행위/고위, 과실/위법성/손해/인과관계 등으로, 그 손해규모를 판단하는 기준은 사고 당시의 보안조치 수준, 사고 발생 후 얼마나 신속하게 사고를 파악하고 적절한 피해확산 방지 조치를 취했는지 여부, 피해자에 대한 사고발생 안내, 피해접수 또는 확인, 피해 회복조치 등의 이행 여부, 유출된 정보의 성격 및 유출된 정보의 양 등을 종합적으로 고려해 인정하고 있다. 이 외에 정신적 손해는 사안별로 탄력적으로 인정하고 있다는 게 이 변호사의 설명이다.

반면, 2008년 A인터넷쇼핑몰이 회원 1,000만명의 성명/주민번호/주소/전화번호/ ID 등을 유출한 사건이나 G정유사가 포인트카드 회원 1,100만여명의 성명/주민번호/주소/전화번호/이메일 주소 등을 유출한 사건에서는 손해배상 책임이 인정되지 않았다.

A인터넷쇼핑몰의 경우, 당시 정보통신망법 등에서 규정하고 있는 기술적·관리적 보호조치를 다했고, G정유사는 불특정 다수가 열람할 수 있는 상태가 아니었고 의사에 반해 개인정보가 수집·이용될 수 있는 상태에 이르러 원고들의 개인정보 자기결정권이 침해됐다거나 침해될 상당한 위험이 발생하지 않았다는 데 근거를 뒀다.

향후엔 피해고객과 개인정보처리자(회사)간 손해 배상책임 관련 분쟁을 비롯해 침해행위의 간접적인 책임이 있는 기업(경유지)과 피해기업 간의 분쟁 및 원인제공 임직원에 대한 회사 또는 주주의 구상금 청구분쟁이 일어날 것으로 예상된다고 그는 설명했다.

이준희 변호사는 “정보보호 주의의무 위반이 회사에 막대한 재산상의 손해를 초래할 수 있기 때문에 전사적 리스크 관리로서의 거버넌스(Governance) 체계를 구축할 필요가 있다”면서 “또한, 사전예방을 철저히 한다고 해도 100% 사고예방은 불가능해 회사환경, 규모 등에 비춰 적정 수준의 주의를 기울여 관리해야 할 것”이라고 강조했다.

또한, 그는 “법령에서 요구하는 수준은 최소한의 조치이며, 이를 준수했다고 무조건 면책은 아니다. 적정 수준의 주의의무가 과실 여부의 기준이 되고, 위반시 손해배상 책임을 부담해야 한다”며, “고시상 기술적·관리적 보호조치를 모두 준수하도록 내부 관리계획을 수립해 철저히 점검하고, 주의의무를 다했다는 점에 대한 입증 책임이 전환된 것에 대비해 각종 증거자료를 확보해야 한다”고 덧붙였다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>