개인정보 유출 사건의 유형은 크게 두 가지로 나눌 수 있다. 하나는 해커가 카드사나 은행을 '해킹'해 고객정보를 빼돌리는 경우다.
이때 피해자들은 해당 회사를 상대로 손해배상 소송을 내도 청구가 기각되는 경우가 많았다. 외부인의 '해킹'으로 인한 범죄여서 실질적으로 해당 회사의 잘못으로 판단할 수 없다는 것 때문이다.
기업은 개인정보가 유출되지 않도록 관리할 책임을 갖고 있지만, 기술적으로 해킹에 대한 준비가 미흡하지 않다고 판단되면 기업의 책임으로 돌릴 수 없다는 것이다.
두번째는 이번 '카드사 개인정보 유출' 사건처럼 내부인이 개인 정보를 빼돌려 수천만건의 개인정보를 빼돌려 사익을 취하는 경우다. 대표적인 사례는 2008년 'GS칼텍스' 정보유출 사건이다.
GS칼텍스 협력업체 직원은 지난 2008년 9월쯤 무려 1천 151만건의 개인정보가 담긴 회사 고객정보를 빼돌렸다. 개인정보 유출 피해자들은 GS칼텍스 등을 상대로 민사소송을 제기했지만 법원은 피해자들의 청원을 들어주지 않았다.
회사가 유출 정보가 담긴 저장매체 등을 조기에 압수해 폐기하고 실질적인 피해가 발생하지 않았다는 이유에서였다.
그러나 그동안의 법원 판결이 피해 정도가 적다는 등 이유로 피해자 구제에 적극적이지 않음으로써 관련 피해가 늘고 있다는 주장도 있다.
이번 카드사 개인정보 유출 사건은 피해규모가 GS칼텍스 사건의 무려 약 10배에 이를 만큼 심각하고 피해액도 클 뿐만 아니라, 카드사에 대한 국민들의 불신도 극에 달하고 있다. 그런데도 기존의 선고 관행대로라면 2차 피해가 적다며 또다시 솜방망이 처벌이 이뤄질 공산이 높다.
법조계 관계자는 "개인 정보 유출의 경우 재산 피해와 정신적 피해까지 함께 고려해 손해배상 책임을 물어야 한다"면서 "개인정보 보호법 위반 피의자를 좀더 엄중히 처벌해야 한다고 생각한다"고 강조했다.
또다른 관계자도 "개인정보의 중요성이 날이 갈수록 강조되고 있는만큼 피해구제와 처벌 수위를 결정하는데 보다 엄격한 잣대를 대야 한다"고 말했다.