▲ 임홍철 정보안전부장
▲ 임홍철 정보안전부장

기업이 고객정보를 토대로 사업을 하는데 있어서 가장 중요하게 여겨야 할 점이 무엇일까.

이에 대한 해답을 보여주는 사례가 최근 다시금 화제가 되고 있다.

2016년 5월, 사내 PC를 통한 전산망 해킹을 통해 2540만 3576명의 회원 정보 유출사고가 발생했던 인터파크 사고.

회원 337명이 인터파크를 상대로 낸 손해배상 청구 소송에서 지난 14일 원고 일부 승소 판결을 받아 인터파크가 패소하면서 다시금 세간의 관심을 끌고 있기 때문이다.

고객정보 유출 사고로 인한 인터파크의 패소는 처음이 아니다. 2016년 5월 사고 이후 회원들 일부가 정보유출로 인한 정신적 손해를 이유로 1인당 20만원을 청구했다. 

소송 과정에서 인터파크는 '해킹과 개인정보 유출 사이에 인과관계가 없다'고 맞섰지만, 재판부가 받아들이지 않으면서 패소했다. 

개인정보 유출 피해를 본 또 다른 회원 2400여명이 제기한 손해배상 소송에서도 패소했다.

법원은 인터파크가 피해자들에게 각 10만원씩 배상하라고 판결했다. 이 판결은 지난해 3월 대법원에서 확정됐다. 이와는 별개로 1530명이 별도로 제기한 소송에서도 패소했다.

더해 지난 14일 서울중앙지법 민사90부의 판결에서 인터파크 회원 337명이 제기한 손해배상 청구 소송에서 다시 패소했다.

재판부는 "유출된 원고들의 개인정보에는 이름, 성별, 생년월일, 전화번호가 포함돼 있다"고 적시하고 "모두 개인을 식별할 수 있을 뿐 아니라 사생활과 밀접한 관련이 있어 2차 피해 발생과 확대의 가능성을 배제하기 어렵다"고 지적했다.

이어 "인터파크는 원고들의 개인정보가 유출됐음을 인지하고도 14일 후에야 원고들에게 이를 통지해 개인정보 유출에 신속히 대응할 수 있는 기회를 상실케 했다"고 부연했다.

인터파크는 이 사고로 정부부처가 개인정보를 유출한 기업에게 부과한 벌금액(과징금) 규모로도 44억8000만원으로 현재까지 1위라는 불명예를 기록하고 있는 상태다.

이 사고가 기업에게 중요한 이유는 패소에 영향을 미친 결정적인 원인 중 하나가 개인정보가 유출됐음을 인지하고도 14일 후에야 회원들에게 통지했다는 부분이라는 점이다.

사고 발생 자체보다 사고에 대한 기업의 대응자세가 재판과정에서 중요한 논쟁거리로 부각돼 패소의 원인으로 작용했다는 것을 눈여겨 볼 필요가 있다.

정통망법에 기반을 둔 서비스를 제공하는 기업이라면 관련법에서 제시하는 각종 요구사항을 준수해야 할 법적 책임에서 자유로울 수 없다.

그 중 고객정보 유출과 관련된 주요 요구사항이 바로 유출을 인지하고 24시간 이내에 고객에게 통지해야 한다는 항목이다.

24시간 이내라는 기준은 정보유출을 시도한 해커가 유출된 정보를 토대로 다른 해킹을 통한 피해를 일으키기 전에 정보주체가 능동적으로 피해를 예방하는 활동을 하도록 보장하기 위한 최소한의 기준이다.

다시 말해 추가피해를 받지 않을 수 있는 정보주체의 권리를 보장하기 위해 기업이 지켜야 하는 도덕적 책임과도 같다.

인터파크는 14일이라는 시간을 소모, 고객이 추가 피해를 예방할 수 있는 권리를 빼앗았다. 스스로 도덕적 책임을 저버리는 선택을 하고 말았다. 그에 대한 후유증을 연이은 패소라는 청구서로 받고 있다.

흔히 사업하는 데 있어 가중 중요한 덕목 중 하나로 거론되는 것 중에 정직이 있다.

고객정보 유출사고 발생 시 일말의 망설임도 없이 신속하게 고객에게 유출사실을 알려주는 것, 이것이 정직이다.

기업이 진정으로 고객을 위하고 있음을 보여주는 정직한 행동이다. 지금 고객들은 정직하고 도덕적인 기업을 요구하고 있다. 

정보유출사고는 고객에 대한 기업의 정직과 도덕성이 검증되는 실험임을 기업들은 잊지 말아야 할 것이다. ⓒ 세이프타임즈

저작권자 © 누구나 안심하고 살 수 있는 세상을 만드는 언론 세이프타임즈 무단전재 및 재배포 금지