머리 숙여 사과했지만, 달라진 건 없었다

2014년 1월 사상 초유의 개인정보유출 사건이 터졌다. 당시 KB국민카드(5300만 건), NH농협카드(2500만 건), 롯데카드(2600만 건) 등 3곳의 카드사에서 유출된 개인정보는 무려 1억400만 건에 달했다. 이 수치로만 보면 경제활동을 하는 모든 국민의 개인정보가 털렸다고 봐도 무방하다. 또한 유출된 정보는 민감하고 방대했다. 고객이름, 주민번호, 휴대전화번호, 주소, 연소득, 카드번호, 주거상황, 카드신용한도금액, 카드신용등급, 카드결제일, 카드결제계좌, 카드 유효기간 등의 개인정보가 유출되었다. 충격적인 유출 사태에 당시 금융소비자들은 경악할 수밖에 없었다.

사건은 지난 2013년 KB국민카드가 KCB(코리아크레딧뷰로)와 진행한 FDS(부정사용방지시스템) 업그레이드 과정에서 벌어졌다. 2013년 2월부터 진행된 FDS 개발 작업 도중, 당시 KB국민카드에 파견 근무를 나갔던 KCB 소속 개발인력 직원(이하 ‘박씨’)이 USB를 이용해 개인정보를 무작위로 내려 받았다. 당시 금융당국은 2차 유출은 없다고 호언장담 했지만, 검찰 조사결과 박씨는 유출한 정보를 대출중개업자 측에 넘겼고 이 정보는 대출상품 판매를 위한 판촉 등에 활용된 것으로 밝혀졌다. 또한 박씨는 KB국민카드 이외에 다른 카드사(NH농협카드, 롯데카드)의 개인정보도 유출한 것으로 드러났다.

개인정보유출 사건이 알려지자 금융소비자들의 분노는 들불처럼 번져갔다. 정보유출 사실이 알려진 한 달 사이 수백만 명의 고객들이 해지 신청했고, 카드사에 정보유출의 책임을 묻는 손해배상소송도 줄을 이었다. 결국 사건 발생 이후 경영진 사퇴는 물론 카드3사 사장이 “개인정보 유출에 무거운 책임감을 느끼며 고객 여러분께 거듭 사과드립니다”라며 직접 대국민 사과에 나서 고개를 숙였다. 4년이 흐른 지금, 국민 앞에 고개를 숙였던 카드3사는 개인정보 유출에 대한 책임을 다했을까.

연신 사과를 했던 카드사들의 실질적인 보상 대책은 없었다. 피해자들은 개인정보 유출로 인한 피해보상을 받기 위해 직접 소송을 해야 했고, 카드사들은 직원의 잘못이며 정보 유출로 인한 2차 피해는 없다며 책임 축소에 급급했다. 또한 당시 카드사들은 고객들에게 KCB 무료개인정보보호 서비스를 1년 동안 제공한 것 이외에 다른 보상은 일체 하지 않았다.

사법부가 인정한 배상액은 ‘10만원’ 뿐

최근 2014년 개인정보유출 사태와 관련하여 피해자들이 각각 진행했던 손해배상청구 소송에 대한 상고심 판결 결과가 잇따라 나오고 있다. 그 결과 피해 위자료로 ‘10만원’이 인정되고 카드사들이 이 사태에 책임이 있음이 확인되었지만, 판결을 온전히 받아들이기는 어렵다.

판결 자체는 의미가 있지만, ‘10만원’이라는 금액은 고객들이 입은 피해를 보상하기에 너무나 적다. 카드사들은 사건 초기부터 안일하게 대응하며 피해자들의 불안감을 더욱 키운 것은 물론 재판 과정에서 잘못을 인정하지 않고 끊임없이 항소하면서, 피해자들이 입은 정신적 피해는 상당히 크다. 또한 당시 사건이 발생한 뒤 약 6개월이 지난 후에야 피해 사실이 알려졌으며, 카드사들은 홈페이지에 ‘회사가 아니라 직원의 잘못이다, 검찰이 개인정보를 회수했으니 큰 문제는 없겠지만 개개인별로 조심하라’는 등 변명으로 일관한 사과문을 게재했다. 심지어 개인정보 유출 사실은 고객들이 일일이 찾아봐야 했다. 이에 피해자들은 소송에서 손해배상액으로 카드사에 50만 원, 100만 원 등의 실질적인 금액을 청구했으나 이 중 ‘10만 원’만 인정되었을 뿐이다.

또한 명백히 기업의 잘못으로 발생한 사건인 만큼 카드사들은 책임 있는 자세로 소송에 임해야 한다. 하지만 카드사들은 끝까지 항소를 하며 전혀 사죄하는 모습이라고는 찾아볼 수 없는 뻔뻔한 모습을 보였다. 항소로 재판을 최대한 끌고 나가다보면 결국 소멸시효(3년)가 완성되기 때문에 카드사들이 의도적으로 시간끌기 한 것이 아닌지 의심스럽다. 실제로 개인정보유출 사건의 소멸시효(3년)는 2017년 1월 7일 완성되었고, 현재 청구권이 사라져 피해자들이 더 이상 추가로 소를 제기할 수 없다. 결국 이제 카드사들이 피해자들에게 손해배상을 할 의무는 없어진 것이다. 개인정보 유출 사태에 대해 무거운 책임감을 느낀다던 카드사들은 이 같은 꼼수를 부리며 앞에서는 악어의 눈물을 흘렸고, 뒤에서는 무책임한 자세로 소비자들을 우롱했다.

제도의 미비가 금융사고의 재발을 부추긴다

이처럼 기업의 잘못으로 인해 다수의 소비자 피해가 발생한 경우 피해자들은 현실적으로 구제 받기가 더욱 어렵다. 그 이유는 우리나라는 아직 ‘집단소송제’가 소비자 분야 전반에 도입되지 않아 피해가 발생하면 각 개인별로 손해배상소송을 제기해야 하기 때문이다. (집단소송제는 한 명의 피해자가 가해자를 상대로 소송을 하면 다른 피해자들도 별도의 소송 없이 그 판결로 피해를 구제받을 수 있는 제도다) 따라서 개별 소송으로 진행할 수밖에 없는 금융소비자들은 시간적·경제적으로 부담이 크고, 피해도 본인 스스로 입증해야 하므로 재판을 끌고 가기 쉽지 않다. 이뿐만 아니라 소비자들은 거대 로펌을 등에 업은 기업들과 언제 끝날지 모르는 법적다툼에 시달려야 하는 등 정신적인 피해도 오롯이 감당해야 한다.

반면 기업들은 설사 재판에서 지더라도 소송을 건 사람에게만 피해액을 물어 주면 되기 때문에 리스크가 크지 않다. 동일한 사건이라 할지라도 소송을 걸지 않은 나머지 대다수 피해자들에게는 보상을 하지 않아도 된다는 얘기다. 현재로선 카드사의 책임이 최종 판결에도 명시된 만큼 금융당국이 카드사가 모든 피해자들에게 10만원씩 배상하도록 강제적인 조치를 취하는 것이 최선이다. 또한 ‘소비자 분야 집단소송제 도입’은 문재인 정부의 100대 국정과제에도 포함되어 있는 만큼 정부의 의지 또한 중요하다.

또한 당시 개인정보유출로 카드사들이 금융당국으로부터 받은 징계는 3개월 영업정지와 1000~1500만원의 벌금이 전부였다. 이에 대해 당시 국민들은 저지른 범죄에 비해 처벌 수위가 너무 낮다는 비판을 쏟아냈지만, 이는 범행이 이뤄질 당시의 개인정보보호법 위반 혐의로 법인을 처벌할 수 있는 최대의 형이었다. 이 같은 법과 제도의 미비로 인한 솜방망이 처벌은 금융사고의 재발 방지에 전혀 도움이 안 될 뿐더러 오히려 금융소비자들을 범죄의 위험에 몰아넣고 있다.

이런 상황에서 과연 카드사들이 징계를 받는 쪽과 비용이 많이 드는 개인정보유출 방지 시스템을 제대로 구축하는 쪽 중 무엇을 택할까. 당연히 카드사들은 큰돈을 들여 시스템을 제대로 구축하는 것보다 대충 사과하고 또다시 실수로 사고가 발생하더라도 징계 받고 벌금 내면 그만이라는 식으로 버티게 될 것이다. 따라서 개인정보유출과 같은 금융 사고의 재발 방지를 위해서는 법과 제도를 정비하여 개인정보보호를 강화하고, 개인정보 유출시 금융회사가 문을 닫을 정도의 처벌이 시행되어야 한다. 또한 ‘징벌적 손해배상제’를 도입하여 금융회사가 금융소비자들이 입은 실제 손해액보다 훨씬 더 많은 손해배상을 하게 하여 불법 행위가 반복되는 상황을 막아야 한다.

안전장치 없이 개인정보보호 완화는 NO
개인정보보호 의무, 정부와 기업에게 있다

지난 11월 21일 금융위는 ‘혁신성장’으로 포장한 신용정보법 선진화방안을 발표했다. 이 방안에는 ‘정보주체의 동의 없이’ 이용자의 SNS 게시물과 공공요금 납부정보 및 온라인 쇼핑 정보 등을 활용하여 개인 신용을 평가하겠다는 내용이 담겨있다. 같은 달 민주당 의원들은 신용정보법 개정안, 개인정보보호법 개정안, 정보통신망법 개정안을 연달아 발의했다. 이 법안들은 ‘개인정보 보호’를 위함이 아니라 빅데이터 활성화를 위해 기업이 가명처리한 개인정보를 자유롭게 판매, 공유하는 것을 허용하기 위한 내용이 담겨있다. 다시 말하면 기업의 영업활동을 위해 개인정보보호를 완화하겠다는 것이다.

개인정보와 연계된 빅데이터는 고객 개인정보를 기본 데이터로 활용하며, 많이 모을수록 더 의미 있는 트렌드를 분석할 수 있다. 그러나 이는 개인정보 축적을 기반으로 하기 때문에 해킹 등 유출사고가 났을 경우 감당할 수 없는 결과를 낳을 것이다. 좋은 결과물을 만들기 위해선 개인정보를 많이 모아야 하지만 그럴수록 더 위험해지는 것이다. 또한 개인정보의 특성상 한 번 유출되고 나면 피해 회복이 사실상 불가능하기 때문에 여전히 고객들은 개인정보 유출에 대한 막연한 불안감을 갖고 있다. 수차례 발생했던 개인정보 유출 사건으로 어딘가에서 자신의 정보가 열람될지도, 자신의 정보가 범죄에 이용될지도 모른다는 사실에 금융소비자들은 늘 마음 한 구석에 불안감이 존재할 수밖에 없는 현실이다.

정부와 금융권은 과거부터 소비자들에게 ‘보안은 불편한 것’이라는 식으로 말하며 온갖 보안프로그램들을 컴퓨터와 모바일에 설치하도록 강제하는 등 보안에 대한 책임을 소비자들에게 전가했다. 하지만 개인정보 유출과 같은 보안 문제는 결국 모두 기업의 부실한 관리 책임으로 발생했다. 더군다나 금융서비스 이용 시 금융소비자들은 각종 개인정보를 선택의 여지없이 무조건 제공할 수밖에 없다. 따라서 더 이상 개인에게만 의무를 다하라고 압박할 것이 아니라 개인정보를 수집해가는 카드사를 비롯한 모든 금융회사들이 경각심을 갖고 개인정보를 관리할 수 있도록 제도를 개선해야 한다. 또한 개인정보 관리를 소홀히 할 경우 금융회사에 엄중한 책임을 물을 수 있도록 정부와 금융당국의 강력한 조치가 반드시 뒤따라야 할 것이다.