개인정보 피해 입증, 왜 ‘유출 피해자’에 떠넘기나 [취재수첩]

국내 여행사 모두투어가 최근 개인정보 유출 논란에 휩싸였다. 상당수 회원의 이름과 생년월일, 성별, 전화번호 등이 유출된 것으로 알려졌다. 사후 대처를 두고도 시끄럽다. 개인정보 유출 자체로도 비판을 받을 일인데, 보상을 받으려면 피해 입증을 유출 피해자가 입증해야 한다고 밝히면서다.

모두투어 측은 보상 조건으로 ‘2차 피해 발생’을 내걸었다. 쉽게 말해 정보 유출(1차 피해)로는 보상이 어렵고, 정보 유출로 인한 2차 피해가 발생했다면 보상하겠다는 것이다. 문제는 2차 피해 발생 여부를 유출 피해자가 입증해야 한다는 점이다. 황당한 소리다. 개인이 2차 피해를 입증하기란 불가능에 가깝다. 당장 어떤 곳으로 개인정보가 흘러 들어갔는지 알 수 없다. 만일 유출 경로를 확인하더라도 어떤 식으로 활용됐는지 파악하는 건 쉽지 않다.

그야말로 ‘나 몰라라’ 식 태도다. 이게 가능한 건 법적으로 유출 자체로는 보상 의무가 없어서다. 개인정보보호위원회 등 당국의 과징금 처분만 받을 뿐이다.

최근 대법원이 내놓은 홈플러스 개인정보 유출 관련 판결에도 비슷한 맥락의 내용이 담겨 있다. 홈플러스는 2011년 12월부터 2014년 7월까지 경품 행사로 모은 개인정보와 회원정보를 보험사에 판매했다. 소비자 283명은 배상을 요구하는 소송을 냈다. 재판 쟁점은 자연스레 홈플러스에서 보험사로 개인정보가 넘어갔다는 사실을 누가 증명해야 할지로 옮겨 갔다. 지난 5월 대법원 민사2부는 “개인정보처리자가 개인정보보호법 위반 행위를 했다는 사실은 정보 주체가 증명해야 한다”고 밝혔다. 피해자 스스로 유출 사실을 증명해야 한다는 얘기다.

기업이 요구하는 개인정보 범위는 날로 확대되고 있다. 하지만 관리 주체인 기업은 사실상 ‘법적 무책임’ 상태다. “법이 현실을 못 따라간다”는 피해자의 지적에 고개가 끄덕여진다.

[최창원 기자 choi.changwon@mk.co.kr]

[본 기사는 매경이코노미 제2279호 (2024.10.09~2024.10.15일자) 기사입니다]