'1인당 30만원 배상' 조정안 받아든 SKT, 과도한 처사인가 솜방망이 처벌인가

"신청인에게 인당 30만원" SKT 개인정보 유출 사태 조정안 공개
개보법상 최대 배상금 300만원, 분쟁조정 평균 지급액은 57만원
손해 배상 규모에 대한 시장 의견 엇갈려

SK텔레콤이 초유의 개인정보 유출 사태의 피해자에게 배상금을 지급하라는 조정안을 받았다. 개인정보분쟁조정위원회가 해당 사태로 인해 피해자들이 정신적 피해를 입었다는 사실을 인정한 것이다. 향후 SKT 측이 조정안을 받아들이고 가입자들의 분쟁 조정 추가 신청이 몰려들 경우, SKT는 최대 수조원에 달하는 배상 책임을 짊어지게 될 것으로 보인다.

조정위, SKT 손해배상 책임 인정

5일 개인정보보호위원회에 따르면, 분쟁조정위는 지난 3일 제59차 전체회의를 열고 SKT에 제기된 분쟁조정신청 사건의 조정안을 결정했다. 조정안에는 SKT가 피해자에게 1인당 30만원의 손해배상금을 지급하고, 개인정보 보호 조치를 강화해야 한다는 권고가 담겼다.

앞서 지난 4월 SKT에서는 사이버 공격으로 인해 약 2,300만 명의 가입자 개인정보가 유출되는 사고가 발생한 바 있다. 이에 피해자 가운데 3,998명이 SKT를 상대로 분쟁조정을 신청했다. 개인정보분쟁조정은 개인정보 관련 분쟁 발생 시 피해 구제를 위해 활용되는 제도로, 신청인과 상대방이 조정안을 수용하면 민사소송법상 확정판결과 동일한 효력을 가진다. 

다만 한쪽이라도 조정안을 수락하지 않으면 조정은 불성립되고, 조정 절차는 종료된다. 이후 활용할 수 있는 분쟁 해결 수단은 민사소송뿐이다. 이번 조정안과 관련해 SKT 측은 “회사가 사고 수습 과정에서 자발적이고 선제적으로 보상하려고 노력했던 점이 충분히 반영되지 않아 아쉽다”면서 “조정안 수락 여부는 관련 내용을 면밀히 검토한 후 신중히 결정하겠다”고 밝혔다.

손해배상액 산정 근거는?

분쟁조정위가 손해배상금을 책정한 배경에는 피해자들의 '정신적 손해'가 있다. 분쟁조정위는 “SKT가 개인정보보호법상 보호조치 의무를 위반해 가입자의 휴대전화 번호, 가입자식별번호(USIM), 유심(USIM) 인증키 등 25종의 개인정보를 유출함에 따라, 유출 정보 악용으로 인한 휴대폰 복제 피해 불안과 유심 교체 과정에서 겪은 혼란과 불편에 대해 정신적 손해를 인정해야 한다”고 밝혔다.

현행 개인정보보호법 제39조는 정보주체가 개인정보처리자의 개인정보보호법을 위반한 행위로 손해를 입으면 개인정보처리자에 손해배상을 청구할 수 있다고 규정하고 있다. 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 설정해 배상을 청구하는 것이 가능하다.

손해배상책임의 범위와 그 규모는 법원 또는 조정위가 △개인정보가 유출된 경위 △유출된 개인정보의 종류와 성격 △개인정보처리자의 개인정보 관리 실태 및 과실 정도 등을 종합적으로 고려해 산정한다. 개인정보위가 발표한 ‘2024 개인정보 분쟁조정제도 운영 성과 분석 결과’에 따르면 지난해 기준 개인정보 분쟁조정에 따른 손해배상금 평균 지급액은 57만원 수준이지만, 판례상으로는 지급액이 5만~10만원에서 그치는 경우도 많다. 일례로 카드사 외주 직원이 주민등록번호 등 고객 정보를 고의로 유출한 사건에서는 1인당 7만원의 손해배상 책임이 인정됐고, 2016년 인터파크 회원들의 아이디, 비밀번호, 전화번호 등이 유출된 사건에서는 1인당 10만원을 배상해야 한다는 판결이 나왔다.

시장서는 갑론을박 이어져

시장에서는 이번 조정안이 SKT에 지나친 처사라는 우려가 나온다. 앞서 지난 7월 SKT는 7,000억원대의 정보 보호 조치 강화 방안과 5,000억원대의 고객 보상 프로그램을 시행하겠다고 발표했고, 고객들의 해지 위약금도 면제했다. 지난 8월 개인정보위는 SKT에 1,347억9,100만원에 달하는 과징금을 물리기도 했다. 이미 사태 수습을 위한 비용을 대거 투입한 상황에 조정위가 재차 손해배상을 권고한 것이다. 향후 조정 결과를 확인한 나머지 가입자 2,300만 명이 한꺼번에 분쟁 조정 신청에 나설 경우, SKT는 자그마치 6조9,000억원을 지출해야 한다. 이는 지난해 SKT의 별도 기준 영업이익(1조5,231억원)의 4배에 달하는 규모다.

반대로 개인정보 유출 사고에 대한 경각심을 일깨우기 위해 오히려 미국처럼 기업의 배상 부담을 확대해야 한다는 시각도 존재한다. 앞서 지난 2021년 미국 3대 이동통신사 중 하나인 T모바일에서는 전·현 고객 및 잠재적 고객 7,660만 명 이상의 이름, 생년월일, 사회보장번호, 운전면허증 번호 등이 포함된 신용 조회 데이터가 대거 유출됐다. 이 중 고객 85만 명은 계정 비밀번호(PIN)까지 노출돼 회사가 강제 초기화 조치를 취하기도 했다. 이에 소비자들은 법원에 T모바일을 상대로 소송을 제기했고, T모바일은 소비자에게 3억5,000만 달러(약 4,590억원)를 배상하기로 합의했다. 이에 따라 T모바일 고객들은 피해 규모에 따라 1인당 최대 2만5,000달러(약 3,200만원)의 보상을 받게 됐다.

일각에서는 해킹 사고 발생 이후 시장 혼란을 최소화하기 위해 개인정보처리자의 피해를 구제하는 '개인정보유출 배상책임보험'을 활성화할 필요가 있다는 지적도 제기된다. 개인정보위는 개인정보 유출에 따른 손해배상책임 이행 시 자금 조달이 어려운 사업체를 위해 2020년부터 해당 보험 가입을 의무화했다. 가입 대상은 전년도 매출액 등이 10억원 이상에 정보주체 수가 1만 명 이상인 사업체다. 다만 개인정보유출 배상책임보험을 취급하는 15개사(메리츠·한화·롯데·MG·흥국·삼성·현대·KB·DB·서울보증·AIG·라이나·농협·신한EZ·하나)의 가입 현황을 집계한 결과에 따르면, 작년 말 기준 개인정보유출 배상책임보험 가입 건수는 7,769건에 불과했다. 개인정보위가 추정하는 가입 대상 기업은 8만3,000개∼38만 개 수준이다.

이런 가운데 개인정보위는 가입 의무를 강화하기는커녕 지난 3월 개인정보유출 배상책임보험의 가입 기준을 매출액 1,500억원·정보주체 100만 명으로 상향하는 시행령 개정안을 내놨다. 해당 개정안이 시행될 시 의무보험 가입 대상 기업은 200여 개로 급감하고, 중소기업 대부분은 사실상 사각지대에 놓이게 된다. 이와 관련해 한 시장 관계자는 "정보 유출 배상 책임으로 인해 기업들이 무너지면 사회적 불이익은 눈덩이처럼 불어날 수밖에 없다"며 "최소한의 안전장치로 의무보험 가입을 활성화하고, 산업계 전반의 IT 보안 시스템이 강화될 수 있도록 지원을 아끼지 말아야 할 것"이라고 짚었다.