[인터뷰] 보안사고 ‘사과문’이면 끝? ‘집단소송제’ 필요( 아이티투데이, ‘16.8.1일자)

보안사고 ‘사과문’이면 끝? ‘집단소송제’ 필요

인터파크 개인정보 유출 등 대규모 보안사고에 ‘기업 면죄부’

최근 잠잠하던 대형 보안사고가 터졌다. 인터파크 개인정보 유출이다. 매번 그렇듯이 사이버보안 사고가 터지면 기업들은 “우리는 최선을 다했다. 하지만 어쩔 수 없다”라는 뉘앙스의 ‘사과문’ 하나면 끝이다. 보안업계에서는 한국도 이 사건을 계기로 ‘징벌적 손해배상제’의 적용을 더욱 강화하고 미국식 ‘집단소송제’를 도입하는 등 사후 책임을 강화해야 된다고 말한다.

한국도 지난 2014년 카드사 고객정보 유출 사건을 이후로 법이 개정, 징벌적 손해배상제의 필요성이 요구됐다. 이에 지난달 25일부터 시행된 법으로 사이버 보안으로 피해를 입은 소비자들은 300만원 이하의 범위에서 손해액을 산정, 배상을 청구할 수 있다.

다만 개인정보 유출의 경우에는 10만원~50만원 정도로 책정될 것으로 법조계는 보고 있다. 과거한국의 손해배상이라는 것은 완전배상주의로 피해 받은 만큼만 배상 받는 위자료에 가깝기 때문이다. 개인정보 유출의 경우 물질적인 피해라고 볼 수 없어 더욱 그렇다.

강철하 한국IT법학연구소 소장은 “현재 미국 같은 나라는 완전배상제를 넘어 형벌을 수준의 징벌적 손해배상주의가 뿌리깊게 도입됐다”며 “그동안 대기업의 중소기업 기술 유용 등의 사안만 적용되던 징벌적 손해배상제도가 보안사고에도 적용 되어 소비자 권리가 이전보다 향상될 것이다”고 말했다.

이처럼 한국의 과거 법 체계와 비교하면 현재 이정도 수준도 소비자의 권리가 많이 향상됐다는 평가지만, 기업의 보안 허술이라는 근본적인 문제를 풀기 위해서는 사이버 보안 사고 한번으로 기업의 생존까지 위태로울 수 있는 ‘집단 소송제’를 도입해야 된다고 보고 있다.

▲ 보안업계에서는 인터파크 사건을 계기로 ‘징벌적 손해배상제’의 적용을 더욱 강화하고 미국식 ‘집단소송제’를 도입하는 등 사후 책임을 강화해야 된다고 말한다 (사진=플리커)

집단 소송제는 피해자 중 한사람만 승소해도 나머지 피해자들이 소송 없이 구제받을 수 있는 제도다. 지난달 26일 더불어민주당 박영선 의원이 징벌적 손해배상법 발의에 이어 미국식 집단소송법 제정안을 대표 발의한 바 있다.

보안업계 한 관계자는 “이번 인터파크 해킹 코드를 보면 현존하는 백신들이 막을 수 없는 코드였기는 하다”며 “인터파크 사건을 떠나 한국에서는 기업들이 정부에서 정해준 가이드라인만 따르면 되고 사후 책임져야 할 책임이 너무 약한 것이 사실이다”고 전했다.

다만 징벌적 손해배상제도가 도입되더라도 절차에 있어 신중을 가해야 된다는 의견이다. 이를 악용해 기업 활동이 위축될 수 있기 때문이다. 또, 사후 규제를 강화하더라도 사전 규제를 완화한 다음 시행해야 효과적일 수 있다는 분석이다.

임종인 고려대학교 정보보호대학원 교수는 “징벌적 손해배상제도의 좋은 점들은 분명하지만 폐혜들도 있다”며 “이를 무차별적으로 적용하면 돈을 노리는 파파라치들이 생겨나 부작용이 있을 수 밖에 없다. 도입을 하더라도 신중 하게 검토 후 도입을 해야 할 것이다”고 설명했다.

이어 임 교수는 “현재 열거 위주로 되어 있는 규정중심의 보안 규칙을 실제의 의무를 다했는지 살펴보는 원칙중심주의의 규제로 가야 된다”고 덧붙였다.

출처 : 온라인 디지털 경제미디어 키뉴스(KINEWS)(http://www.kinews.net)