3개 카드사 사장이 개인정보 유출과 관련해 허리 숙여 대국민 사죄를 하고 있다. (윤성호 기자/자료사진)
1억건 이상의 전례없는 개인정보 유출로 피해자들이 법원에 소송을 제기하는 등 행동에 나선 가운데 더 이상 같은 일이 반복되지 않도록 엄중한 처벌이 필요하다는 목소리가 높아지고 있다.
개인정보 유출 사건의 유형은 크게 두 가지로 나눌 수 있다. 하나는 해커가 카드사나 은행을 '해킹'해 고객정보를 빼돌리는 경우다.
이때 피해자들은 해당 회사를 상대로 손해배상 소송을 내도 청구가 기각되는 경우가 많았다. 외부인의 '해킹'으로 인한 범죄여서 실질적으로 해당 회사의 잘못으로 판단할 수 없다는 것 때문이다.
기업은 개인정보가 유출되지 않도록 관리할 책임을 갖고 있지만, 기술적으로 해킹에 대한 준비가 미흡하지 않다고 판단되면 기업의 책임으로 돌릴 수 없다는 것이다.
두번째는 이번 '카드사 개인정보 유출' 사건처럼 내부인이 개인 정보를 빼돌려 수천만건의 개인정보를 빼돌려 사익을 취하는 경우다. 대표적인 사례는 2008년 'GS칼텍스' 정보유출 사건이다.
GS칼텍스 협력업체 직원은 지난 2008년 9월쯤 무려 1천 151만건의 개인정보가 담긴 회사 고객정보를 빼돌렸다. 개인정보 유출 피해자들은 GS칼텍스 등을 상대로 민사소송을 제기했지만 법원은 피해자들의 청원을 들어주지 않았다.
회사가 유출 정보가 담긴 저장매체 등을 조기에 압수해 폐기하고 실질적인 피해가 발생하지 않았다는 이유에서였다.
그러나 그동안의 법원 판결이 피해 정도가 적다는 등 이유로 피해자 구제에 적극적이지 않음으로써 관련 피해가 늘고 있다는 주장도 있다.