홈플러스, 수백억 불법 취득…
시민단체의 유출내역 공개 요구에 두 달 넘도록 묵묵부답
홈플러스의 ‘개인정보 매매’ 사건 파장이 일파만파 커지고 있다. 검찰의 수사 결과 발표 이후에도 홈플러스가 피해구제 등 별다른 후속조치에 나서지 않자 정부가 추가 처벌에 나서야 한다는 목소리가 높아지고 있다. 이번 사건을 계기로 개인정보 유출문제에 대해 지나치게 관대한 국내법을 강화해야 한다는 지적도 나온다.
홈플러스 개인정보 매매 사건은 홈플러스가 각종 이벤트나 경품행사 등을 통해 수집한 개인정보 2406만여건을 보험사에 팔아 231억여원을 불법으로 취득한 사건이다. 개인정보범죄 정부합동수사단은 지난 1월 30일 홈플러스의 이 같은 불법행위를 확인하고 도성환 사장 및 관련 임직원, 보험사 직원 등 9명을 개인정보보호법 위반 혐의 등으로 불구속기소했다.
합수단이 밝힌 수사내용을 보면 홈플러스는 처음부터 개인정보 판매를 통해 이익을 챙길 목적으로 이벤트 등을 실시했다. 이번 사건 역시 큰 틀에서 보면 개인정보 유출사고에 해당한다. 그간 발생한 대형 개인정보 유출사고 대부분은 외부 해킹 범죄에 의한 것이었다. 개인정보를 수집·관리하는 주체인 유명 대기업이 직접 범행을 계획하고 실행했다는 게 놀랄 만한 차이점이다.
‘직접 범행 계획하고 실천’ 놀라운 일
더 놀라운 것은 홈플러스의 사후대처다. 시민단체들의 표현을 빌리자면, 홈플러스는 사건이 발생해 사회적으로 큰 물의를 빚고도 ‘아무것도’ 하지 않고 있다. 홈페이지에 사과문과 함께 “대신 500가지 물품을 할인판매하겠다”는 일종의 보상책을 제시했지만 “할인행사는 늘상 해온 것”이라는 비판과 함께 역풍만 맞았다.
개인정보 유출사고가 발생했을 때 대기업들은 정보통신망법에 규정된 절차를 따라야 한다. 우선 유출사고 발생 사실을 관계당국에 신고한다. 이어 피해자들에게 유출 소식과 상세 유출내역 등을 알리고 피해를 최소화하기 위해 대책을 마련해야 한다.
홈플러스의 경우 검찰에 범행이 적발된 형태라 신고절차를 거칠 필요는 없었다. 피해자들에게 유출 소식을 알리고 대책을 세우는 일은 할 수 있고, 해야 하는 일이다. 그러나 홈플러스는 사건 발생 두 달이 넘도록 이와 관련된 어떤 행동도 취하지 않고 있다. 참여연대 등 시민단체가 피해사실 확인을 요구했지만 묵묵부답이었다. 수집한 개인정보를 제3자에게 넘긴 내역을 공개하라고 요구하자 홈플러스는 “삭제하고 없다”는 답변을 내놓았다.
검찰에 기소돼 재판을 앞둔 대기업이 사후대처에 나서지 않는 경우는 대부분 ‘잘못한 게 없다’고 생각할 때다. 법정에서 무죄를 받으면 그만이기 때문이다. 법조계에서는 홈플러스가 법정에서 당시 적법한 과정을 통해 개인정보를 수집하고 매각했다는 주장을 펼칠 것으로 전망하고 있다.
홈플러스의 무대응에 시민단체들의 분노는 극에 달한 상태다. 재판과는 별도로 방송통신위원회에 정보통신망법 위반 혐의로 조사와 처벌을 요청한 상태다. 홈플러스의 본사인 영국 테스코(TESCO)와 경제협력개발기구(OECD)에 조사를 요청하는 등 이 문제를 국제적으로 이슈화하기 위한 시도에도 나서고 있다. 검찰에는 홈플러스가 개인정보 제3자 제공 자료를 삭제한 점을 들어 ‘증거인멸’ 등 혐의를 추가해 달라고 요구하고 있다. 홈플러스를 상대로 한 손해배상 청구 등 민사책임을 묻기 위한 절차도 진행 중이다.
홈플러스의 유·무죄를 떠나 이 같은 일이 되풀이될 수 있는 허술한 국내 법체계에 근본적인 문제가 있다는 지적이 나온다. 2000년대 후반부터 옥션, GS칼텍스, 싸이월드 등 많게는 수천만명의 개인정보가 유출되는 사건이 거의 매년 발생했지만 단 한 번도 ‘엄중한’ 처벌이 내려진 적은 없다. 가장 최근에 발생한 KT의 가입자 981만여명에 대한 개인정보 유출사건에서도 8500만원의 과징금 및 과태료가 부과됐을 뿐이다.
정부는 개인정보 유출 솜방망이 처벌
한 보안업체 관계자는 “개인정보를 실수든 고의든 유출해도 별다른 처벌이나 제재를 받지 않는 것이 현실”이라며 “결국 개인정보를 팔아서 이익을 챙겨도 된다는 생각을 하게 될 정도로 상황이 악화된 것”이라고 말했다.
새정치민주연합 전병헌 의원이 지난해 국정감사에서 공개한 자료를 보면 2011~2014년 방송통신위원회 소관 민간기업의 개인정보 유출은 1억620만건, 부과된 과징금은 177억7300만원으로 집계됐다. 개인정보 유출 1건당 과징금은 166원인 셈이다. 이에 비해 민간에서 불법거래되는 개인정보 1건당 단가는 최대 200원 수준으로 알려져 있다. ‘장사’만 잘하면 과징금을 내고도 개인정보를 팔아 돈이 남는 것이다.
개인정보 유출 피해에 대한 책임을 지고 기업이 피해자들에게 거액을 배상한 사례도 없다. 법원은 매번 “고의성이 없었다”, “할 수 있는 조치는 다했다”는 등의 이유로 기업들에 면죄부를 줬다. 이 역시 관련법의 처벌규정이 너무 가볍거나 기업의 보호의무조치와 관련한 조항들이 모호해 발생한 문제다.
대형 개인정보 유출사고와 솜방망이 처벌이 매번 되풀이되면서 개인정보 유출사고에 한해 징벌적 손해배상제도나 집단소송제도를 도입하자는 의견도 나왔지만 논의 수준에 그치고 있다. 올 들어 개인정보보호법 개정안이 시행되면서 문제가 되는 개인정보 수집을 최소화하도록 규정했지만 이미 유출된 개인정보가 너무 많은 탓에 근본적인 대책은 될 수 없다는 지적이 많다. 3월부터 시행된 정보통신망법 개정안에는 개인정보 유출사고 시 300만원 한도로 피해배상을 청구할 수 있도록 규정했지만 아직까지 적용된 적은 없다.
정보보호 투자에 인색한 기업들의 태도도 여전하다. 오히려 악화되고 있다. 미래창조과학부가 지난달 발표한 ‘2014년 정보보호 실태조사’를 보면 조사대상 7000개 기업 중 정보보호 예산을 전체 정보통신기술 예산의 5% 이상 투입한 기업은 조사대상의 2.7%에 불과했다. 이는 전년도 5% 이상 기업 비율인 3.2%보다 오히려 후퇴한 수치다. 5%는 미래부가 각 기업들에 정보보호 예산 수준으로 권고한 최소한의 기준이다. 기업 100곳 중 단 3곳 정도만 이를 지킨다는 얘기다.
<송진식 경향신문 산업부 기자 truejs@kyunghyang.com>