SKT측 수차례 ‘100% 피해보상하겠다’ 언급했지만 입증은 소비자가
해킹 뒤 몇 년 지나 피해 입으면 사실상 입증 불가능...유출 예방이 최선
정부 통신정책 ‘업계 이익’에서 소비자 피해 중심으로 대전환 필요성 제기
[보안뉴스 성기노 기자] SK텔레콤 해킹 사태가 여전히 혼란스러운 모습이다. SK텔레콤 측은 유심 정보 유출에 따른 피해가 발생할 경우 100% 배상하겠다고 수차례 밝힌 바 있다. 하지만 이런 대응은 말 그대로 ‘원론적 입장’이자 일종의 ‘립 서비스’일 뿐이라는 지적이 많다.
▲황금연휴를 앞둔 지난달 30일 인천국제공항 제1여객터미널 SK텔레콤 로밍센터에서 출국자들이 유심 교체를 위해 대기하고 있다. [자료:연합뉴스]
이용자들은 지금까지의 해킹 피해 사례 배상 전력을 볼 때 정보 유출 사고에서 소비자가 피해를 입증하고 배상까지 받기란 여간 어려운 일이 아니라고 우려한다. 특히 “사고는 업체가 쳤는데 그 입증은 소비자가 해야 된다는 것 자체가 말이 안 된다”는 지적이 많다.
지금까지 정부의 이동통신 정책 자체가 소비자 중심이 아닌 업계의 ‘경제 논리’로만 움직이다 보니 이번 해킹 사태도 그 ‘관성’이 그대로 유지될 것이라는 부정적 전망이 다수다. 그래서 이번 SK텔레콤 해킹 사태를 계기로 정부의 통신 정책도 ‘업계 이익’ 중심에서 소비자 피해 구제 쪽으로의 대전환이 이뤄져야 한다는 목소리가 높다.
개인정보 유출 사건에서 정보 보유자의 입증 책임이 컸던 과거보다는 정보를 유출 당한 회사 측 책임이 점점 무거워지는 추세이긴 하다. 그렇다고 해서 업체가 소비자들의 피해 사례를 전수조사해 전부 그 배상을 해줄 수는 없다. 지금도 피해배상 소송을 한 사람들만이 ‘구제’를 받을 길이 조금 열렸을 뿐 개인이 적극적으로 피해 입증에 나서지 않을 경우 완전한 해결은 어려운 게 현실이다.
그래서 전문가들은 해킹 사고와 2차 피해 간의 연관성을 입증하기 위한 증거 수집, 집단적 대응 등도 필요할 수 있다고 조언한다. 해킹으로 인한 2차 피해 발생 시 소비자가 두 사건 사이의 연관성을 입증하기 어려운 이유는 사이버 공격 급증에 따라 개인정보가 여러 경로를 통해 유출될 가능성이 있어 인과관계 증명이 상당히 어렵다는 점이다.
해킹이 일어난 시점에서 한참 지나 2차 피해가 일어나는 경우도 많고 소비자 개개인이 기술적 증거를 모으기가 어려운 것도 현실이다.
개인정보보호법에 따르면 이번 사건에서 개인정보 처리자인 SK텔레콤은 정보 침해에 고의나 과실이 없었음을 입증하지 못하면 책임을 지게 된다. 정보 주체인 소비자가 정보 유출의 고의 또는 과실을 입증하기 어려우므로 기업 측이 문제가 없음을 증명하라는 이야기다.
SK텔레콤 서버 해킹으로 2차 피해를 본 가입자가 나온다면 300만원 이하의 손해배상을 청구하거나 SKT 측의 고의 또는 중대한 과실로 인한 개인정보 유출이라면 손해액의 5배를 넘지 않는 범위에서 징벌적 손해배상을 청구할 수 있다.
▲지난달 29일 서울 시내 한 SKT 대리점에 ‘SK텔레콤은 끝까지 책임을 다하겠습니다’라는 문구가 쓰여져 있다. [자료:연합뉴스]
무단 금전거래 등 2차 피해가 일어나지 않고도 해킹으로 인한 정보 유출만으로도 정신적 손해에 대한 위자료를 청구할 수 있다. 하지만 SK텔레콤 해킹 사건의 현재 알려진 피해 범위 내에서는 위자료 청구는 쉽지 않아 보인다는 게 법조계 전망이다.
위자료 산정은 인적 사항, 내밀한 사생활 정보, 금융정보 등 어떤 정보가 유출됐느냐에 따라 달라지는데 SK텔레콤 측은 주민등록번호 등 민감한 개인정보나 금융 관련 정보는 빠져나가지 않았다고 밝혔기 때문이다.
일단 SK텔레콤의 귀책 사유로 유심 정보가 해킹됐다고 해도 업체의 배상을 무조건 요구할 수 없다. 원론적으로는 정보통신 서비스 사업자가 해킹을 막기 위한 합리적인 보안 조치를 소홀히 했다면 2차 피해가 없더라도 정보 유출 자체에 대한 책임을 피할 수 없다. 하지만 그 과정의 귀책 사유를 검증할 때 당시의 보안 수준과 해킹 방법의 정교함, 유출된 정보의 민감도 등이 종합적으로 고려돼야 한다.
원칙적으로는 배상을 할 수 있지만 실제로 그 행위가 구체화되기 위해 소비자들이 넘어야 할 산이 ‘법적으로’ 너무나 많은 게 현실이다. 그래서 체계적인 증거 수집과 전문가의 조언을 받거나 비슷한 피해자들이 공동 대응하는 방안이 그나마 대안으로 떠오르고 있다.
한편 이번 사건과 관련해 집단 소송을 준비하고 있는 로피드법률사무소 하희봉 대표변호사는 “SK텔레콤이 고객에게 입증 책임을 완전히 면제하겠다는 주장은 사실상 마케팅적 성격이 크다”고 지적했다. 하 변호사는 “민사 소송에서 피고가 입증 책임을 일부 포기하는 것은 가능하지만, 회사 입장에서는 주주 이익과 관련된 배임 문제가 불거질 수 있어 실제로는 고객에게 최소한의 입증 책임을 요구할 가능성이 크다”고 내다봤다.
예를 들어 소비자가 해킹 발생 전후에 스미싱 문자를 클릭하지 않았다는 등의 기본적인 사실관계를 밝히는 수준의 입증은 요구될 수 있다는 것이다. 업체 입장에서는 실제 피해가 아닌데 허위 주장을 하는 사례도 검증을 해야 하므로 단순히 주장만으로 배상은 불가능하고 최소한의 피해 사실을 개인이 입증할 수밖에 없다.
법률 전문가들은 “지금 SK텔레콤이 주장하는 ‘전수 배상’ 운운은 결국 소비자에게 피해 입증을 떠넘기면서 책임을 최소화하려는 전략”이라고 비판한다. 현실적으로 소비자들의 피해 입증에 한계가 있기 때문이다.
소비자단체도 불신을 감추지 않았다. 이번 사태는 단순한 유출 사고가 아니라, 한국 통신업계의 소비자 기만 관행이 적나라하게 드러난 사례라는 것이다. 소비자들의 정신적 피해와 금전적 손해 모두에 대해 SK텔레콤이 선제적이고 구체적 배상안을 제시하지 않으면 ‘통신업계 불매운동’으로 번질 가능성도 배제할 수 없는 상황이다.
[성기노 기자(kino@boannews.com)]
해킹 뒤 몇 년 지나 피해 입으면 사실상 입증 불가능...유출 예방이 최선
정부 통신정책 ‘업계 이익’에서 소비자 피해 중심으로 대전환 필요성 제기
[보안뉴스 성기노 기자] SK텔레콤 해킹 사태가 여전히 혼란스러운 모습이다. SK텔레콤 측은 유심 정보 유출에 따른 피해가 발생할 경우 100% 배상하겠다고 수차례 밝힌 바 있다. 하지만 이런 대응은 말 그대로 ‘원론적 입장’이자 일종의 ‘립 서비스’일 뿐이라는 지적이 많다.
▲황금연휴를 앞둔 지난달 30일 인천국제공항 제1여객터미널 SK텔레콤 로밍센터에서 출국자들이 유심 교체를 위해 대기하고 있다. [자료:연합뉴스]
이용자들은 지금까지의 해킹 피해 사례 배상 전력을 볼 때 정보 유출 사고에서 소비자가 피해를 입증하고 배상까지 받기란 여간 어려운 일이 아니라고 우려한다. 특히 “사고는 업체가 쳤는데 그 입증은 소비자가 해야 된다는 것 자체가 말이 안 된다”는 지적이 많다.
지금까지 정부의 이동통신 정책 자체가 소비자 중심이 아닌 업계의 ‘경제 논리’로만 움직이다 보니 이번 해킹 사태도 그 ‘관성’이 그대로 유지될 것이라는 부정적 전망이 다수다. 그래서 이번 SK텔레콤 해킹 사태를 계기로 정부의 통신 정책도 ‘업계 이익’ 중심에서 소비자 피해 구제 쪽으로의 대전환이 이뤄져야 한다는 목소리가 높다.
개인정보 유출 사건에서 정보 보유자의 입증 책임이 컸던 과거보다는 정보를 유출 당한 회사 측 책임이 점점 무거워지는 추세이긴 하다. 그렇다고 해서 업체가 소비자들의 피해 사례를 전수조사해 전부 그 배상을 해줄 수는 없다. 지금도 피해배상 소송을 한 사람들만이 ‘구제’를 받을 길이 조금 열렸을 뿐 개인이 적극적으로 피해 입증에 나서지 않을 경우 완전한 해결은 어려운 게 현실이다.
그래서 전문가들은 해킹 사고와 2차 피해 간의 연관성을 입증하기 위한 증거 수집, 집단적 대응 등도 필요할 수 있다고 조언한다. 해킹으로 인한 2차 피해 발생 시 소비자가 두 사건 사이의 연관성을 입증하기 어려운 이유는 사이버 공격 급증에 따라 개인정보가 여러 경로를 통해 유출될 가능성이 있어 인과관계 증명이 상당히 어렵다는 점이다.
해킹이 일어난 시점에서 한참 지나 2차 피해가 일어나는 경우도 많고 소비자 개개인이 기술적 증거를 모으기가 어려운 것도 현실이다.
개인정보보호법에 따르면 이번 사건에서 개인정보 처리자인 SK텔레콤은 정보 침해에 고의나 과실이 없었음을 입증하지 못하면 책임을 지게 된다. 정보 주체인 소비자가 정보 유출의 고의 또는 과실을 입증하기 어려우므로 기업 측이 문제가 없음을 증명하라는 이야기다.
SK텔레콤 서버 해킹으로 2차 피해를 본 가입자가 나온다면 300만원 이하의 손해배상을 청구하거나 SKT 측의 고의 또는 중대한 과실로 인한 개인정보 유출이라면 손해액의 5배를 넘지 않는 범위에서 징벌적 손해배상을 청구할 수 있다.
▲지난달 29일 서울 시내 한 SKT 대리점에 ‘SK텔레콤은 끝까지 책임을 다하겠습니다’라는 문구가 쓰여져 있다. [자료:연합뉴스]
무단 금전거래 등 2차 피해가 일어나지 않고도 해킹으로 인한 정보 유출만으로도 정신적 손해에 대한 위자료를 청구할 수 있다. 하지만 SK텔레콤 해킹 사건의 현재 알려진 피해 범위 내에서는 위자료 청구는 쉽지 않아 보인다는 게 법조계 전망이다.
위자료 산정은 인적 사항, 내밀한 사생활 정보, 금융정보 등 어떤 정보가 유출됐느냐에 따라 달라지는데 SK텔레콤 측은 주민등록번호 등 민감한 개인정보나 금융 관련 정보는 빠져나가지 않았다고 밝혔기 때문이다.
일단 SK텔레콤의 귀책 사유로 유심 정보가 해킹됐다고 해도 업체의 배상을 무조건 요구할 수 없다. 원론적으로는 정보통신 서비스 사업자가 해킹을 막기 위한 합리적인 보안 조치를 소홀히 했다면 2차 피해가 없더라도 정보 유출 자체에 대한 책임을 피할 수 없다. 하지만 그 과정의 귀책 사유를 검증할 때 당시의 보안 수준과 해킹 방법의 정교함, 유출된 정보의 민감도 등이 종합적으로 고려돼야 한다.
원칙적으로는 배상을 할 수 있지만 실제로 그 행위가 구체화되기 위해 소비자들이 넘어야 할 산이 ‘법적으로’ 너무나 많은 게 현실이다. 그래서 체계적인 증거 수집과 전문가의 조언을 받거나 비슷한 피해자들이 공동 대응하는 방안이 그나마 대안으로 떠오르고 있다.
한편 이번 사건과 관련해 집단 소송을 준비하고 있는 로피드법률사무소 하희봉 대표변호사는 “SK텔레콤이 고객에게 입증 책임을 완전히 면제하겠다는 주장은 사실상 마케팅적 성격이 크다”고 지적했다. 하 변호사는 “민사 소송에서 피고가 입증 책임을 일부 포기하는 것은 가능하지만, 회사 입장에서는 주주 이익과 관련된 배임 문제가 불거질 수 있어 실제로는 고객에게 최소한의 입증 책임을 요구할 가능성이 크다”고 내다봤다.
예를 들어 소비자가 해킹 발생 전후에 스미싱 문자를 클릭하지 않았다는 등의 기본적인 사실관계를 밝히는 수준의 입증은 요구될 수 있다는 것이다. 업체 입장에서는 실제 피해가 아닌데 허위 주장을 하는 사례도 검증을 해야 하므로 단순히 주장만으로 배상은 불가능하고 최소한의 피해 사실을 개인이 입증할 수밖에 없다.
법률 전문가들은 “지금 SK텔레콤이 주장하는 ‘전수 배상’ 운운은 결국 소비자에게 피해 입증을 떠넘기면서 책임을 최소화하려는 전략”이라고 비판한다. 현실적으로 소비자들의 피해 입증에 한계가 있기 때문이다.
소비자단체도 불신을 감추지 않았다. 이번 사태는 단순한 유출 사고가 아니라, 한국 통신업계의 소비자 기만 관행이 적나라하게 드러난 사례라는 것이다. 소비자들의 정신적 피해와 금전적 손해 모두에 대해 SK텔레콤이 선제적이고 구체적 배상안을 제시하지 않으면 ‘통신업계 불매운동’으로 번질 가능성도 배제할 수 없는 상황이다.
[성기노 기자(kino@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
