[집중분석] 개인정보 유출사고에 대한 경제적 손실 대비해야

대부분의 민간업체 등 보험 가입이 의무화 안돼

관리기관의 유출방지 시스템 등 구축 강화해야

금융위기를 겪으면서 개인신용정보에 대한 중요성이 부각되고 있는 상황이다. 특히, 부실에 빠지지 않기 위해서는 신용관리가 필수적인 요소가 되고 있다. 하지만 개인정보 유출사고가 매년 증가되고 있어 이로 인한 경제적 피해를 보상할 수 있는 안전망 구축에 대한 논의가 필요하다는 지적이 나왔다.
개인정보 관리기관의 개인정보 관리시스템 구축 강화와 피해자 보호를 위한 경제적 안전망 구축이 필요하다는 것. 보험연구원 산업연구실은 ‘개인정보 유출리스크 증대에 따른 안전망 구축 필요성’이란 보고서를 내고 이같이 설명했다. 이에 본지는 이 보고서를 통해 개인정보 유출 방지 대책을 살펴봤다.

◇ 2008년 이후 개인정보 유출 증가세

이 보고서는 개인정보 유출사고의 발생원인은 부적절한 접근과 수집, 부적절한 이전, 원하지 않은 영업행위, 부적절한 저장 등이라고 설명했다.

2008년 발생한 GS칼텍스의 개인정보 유출사고는 그 규모가 약 1100만 건으로 세계적으로도 대형사건으로 기록됐다. 침해건수를 기준으로 할 때 공공부문의 경우 2009년 423건으로 최근 급증하고 있으며 이중 약 40%가 개인정보 유출사고다. 민간부문의 경우는 2008년 약 4만건이 침해사고이며, 이중 개인정보 유출사고 유형은 약 30%에 해당된다.

‘개인정보 유·노출 사고로 인한 기업의 손실비용 추정’이란 보고서에 따르면 개인정보 유출사고로 인한 피해규모는 추정 손해배상금이 2007년 기준 약 3조원, 2005~2007년의 누적 피해자수는 7000만명, 누적 손해배상금 추정액도 약 11조원에 달하는 것으로 분석했다. 이 보고서는 2007년의 손해배상금 추정액 3조원은 현재 의무보험인 자동차보험의 대인배상 보험금 2008년도의 2.3조원보다도 큰 금액으로 개인정보 유출사고의 사회적 리스크가 매우 중요한 과제가 될 것이라고 분석했다.
이 보고서는 우리나라의 개인정보보호와 관련된 법적 규제는 분야별로 독립적인 법률이 존재하는 분산형 체계라고 설명했다. 공공분야의 경우 공공기관의 개인정보보호에관한 법률, 민간부분은 정보통신망이용촉진및정보보호등에관한 법률이 주요 법률이다.

이 외 관련법률로서 전자금융거래법, 통신비밀보호법, 신용정보의이용및보호에관한 법률, 전자상거래등에서의소비자보호에관한법률 등 개별 관련분야에서 독립적으로 적용되고 있다. 2010년 6월 현재 국회에 계류중인 개인정보보호법안은 개인정보보호를 포괄적으로 적용하는 법률안으로 공공기관의 개인정보보호에관한 법률을 폐지하고 이를 대체하는 것이다.

이 법안에서는 기존의 타 법률에서 규정하고 있지 않은 개인정보 유출사고 방지대책과 유출사고시 피해자 구제대책도 체계적으로 포함하고 있다. 이 보고서는 개인정보 유출사고 피해자의 구제를 위해 공공기관에서는 행정안전부가 개인정보침해신고센터를 운영하고 있으며 또한 한국소비자원의 분쟁처리절차를 이용할 수도 있다고 설명했다. 보험을 통한 피해자 구제는 전자금융거래법과 정보통신망법에서 보험가입을 의무하화고 있지만 공공기관과 대부분의 민간업체는 보험 가입이 의무화돼 있지 않은 실정이다.

◇ 선진국 관련법 제정으로 보호 강화 추세
일본의 경우 개인정보보호에관한 법률이 2003년 5월에 제정됐다. 이 법안은 22개분야에 대한 35개의 개인정보보호 가이드라인을 제정했다. 피해자 구제를 위한 손해배상책임 등의 명시적 조항은 없지만 기본 방침에서 개인정보보호 조치에 관한 기본사항을 규정하고 있다. 개인정보유출보험은 일본상공회의소의 회원을 대상으로 미쯔이스미토모를 사무간사사로 13개 손해보험회사가 공동인수하는 형태다.

미국은 포괄적인 개인정보보호법제가 제정돼 있지 않으며 다양한 개별법과 자율규제를 중심으로 법적대응이 이뤄지고 있다고 설명했다. 공정신용조사법, 의료보험의상호운영성및설명책임에관한 법률, 아동온라인프라이버시보호법, 금융서비스현대화법, 등이 제정됐다. 또한 각 주별로 독자적인 제도가 있으며, 민간기업에서는 자율규제가와 가이드라인이 운영되고 있다.

미국의 보험시장은 유출사고시 본인에 직접 고지해야 하는 개인정보유출고지법에 있는 의무조항 때문에 성장하게 되는 계기를 마련했다. EU가맹국은 1995년에 공공부문과 민간부문을 포괄적으로 규제하는 EU정보보호 지침을 제정했다. 유럽각국의 개인정보보호 관련 보험은 국내법의 재정비와 정보보안전문기관의 설립 등을 계기로 판매가 활성화되기 시작했다.

최근 유럽은 개인정보 유출사고에 대한 체계적인 대책마련을 위한 유럽네트워크 정보보안 전문기관인 ENISA(Eur ope Network and Information Security Agency)를 출범해 범국가적인 노력을 기울이고 있다. 이 보고서는 개인정보 유출리스크 경감을 위한 안전망 확보의 필요성이 있다고 설명했다. 현행 개인정보 유출사고 피해자 보상체계를 보면, 중소기업은 피해자 보호측면에서, 공공기관은 개인정보 담당자가 개인적 파산에 노출될 개연성 측면에서 취약한 점이 있다고 분석했다.

대기업의 경우 개인정보유출 사고 피해자를 보호할 수 있는 배상자력을 사내유보를 통해 확보할 수는 있지만 이러한 방법은 비효율적이라고 지적했다.

중소기업의 경우 대기업이나 보상할 수 있는 배상자력이 취약하다고 설명했다. 공공기관의 경우 국가배상법에 따라 공공기관이 피해자에게 직접 배상할 수 있지만 사전에 준비하기 보다는 사고가 발생할 경우 특별예산을 편성하기 때문에 일시에 큰 재원을 마련해야 하는 부담과 자원배분의 비효율의 나타날 수 있다는 것. 개인정보와 관련해 당사자들은 개인정보가 유출될 리스크, 개인정보 유출로 인한 경제적 손실 리스크에 대한 우려가 큰 것으로 조사됐다.

이 보고서는 시장의 개인정보와 관련한 당사자의 리스크인식을 알아보기 위해 국민, 공공기관 및 기업체의 개인정보 담당자에게 막연한 리스크, 경제적 손실, 유출사고 가능성도 국민 및 공공기관 담당자는 높게, 기업체 담당자는 상대적으로 낮게 인식했다. 시장참여자들이 개인정보가 유출될 경우 리스크, 특히, 경제적 손실리스크를 걱정하는 이유는 피해자의 경제적 손실을 보상해주는 장치가 미흡하다는 판단에서다.

이 보고서는 개인정보 유출리스크 안전망으로서 보험제도의 필요성을 제기했다. 개인정보 유출사고에 대비한 개인정보 관리기관의 배상자력 확보방법 중에서 보험이 효율적인 방법에 속한다고 설명했다. 보험제도는 보험회사가 피보험사인 개인정보취급기관에게 효율적으로 개인정보보호를 하도록 감시하는 기능이 있으므로, 시장 전체의 안정성 제고를 통해 개인정보의 관리수준 향상에 기여할 수 있다고 설명했다.

◇ 보상범위 확대하는 상품개발도 필요

이 보고서는 시장참여자 모두가 개인정보 유출사고 리스크에 불안해하고 있다는 점을 고려할 때 시장 전체의 개인정보 유출리스크가 높아질 개연성이 있으므로 이에 대비한 안전망 구축이 필요하다고 강조했다.

또한 개인정보유출 사고시 피해자의 경제적 손실을 보상해줄 수 있는 장치 중 효율적 범주에 속하는 보험제도를 활성화할 수 있도록 구체적인 대응조치가 필요하다고 설명했다. 보험회사는 공공기관 및 기업체가 보험을 통해 개인정보 유출사고로 인한 경제적 손실을 효과적으로 대비할 수 있도록 시장의 요구에 부합한 상품 개발 및 적정요율의 제시가 필요하다고 분석했다. 현행 보험제도 외에도 법원의 배상판결에 추가해 보상범위를 확대하는 상품개발, 개인정보관리 회사에서 요구하는 다양한 상품을 개발하는 등 시장의 요구에 부합한 상품을 개발해 제공할 필요가 있다는 것. 이와 더불어 개인정보유출사고배상책임보험이 활성화 되기 위해서는 시장에서 수용 가능한 보험료 수준이 돼야 하므로 합리적 보험료 산출을 통해 시장에서 적절한 보험료를 제공할 필요가 있다고 지적했다.

한편, 일반국민의 입장에서는 개인정보 유출사고가 발생하지 않도록 자신의 개인정보를 잘 관리하는 것이 필요하다고 설명했다.

                             〈 제3자 리스크의 특징 비교 〉
                                                                           

                     〈 정보통신망법상 개인정보 유출사고 현황 〉
                                                                        (단위 : 건)
(자료 : 한국인터넷진흥원; 송훈석 의원 정책자료집(2009) 재인용)



고재인 기자 kji@fntimes.com