SK텔레콤·KT·롯데카드 등 개인정보를 관리해야 하는 회사는 개인정보 유출에 따른 손해를 배상하기 위해 의무적으로 보험에 가입해야 한다. 하지만 고객이 보험금을 받을 가능성은 현저히 낮아 제도가 유명무실하다는 지적이 제기된다. 개인정보를 유출한 회사의 '법률상 책임'이 인정되지 않고 있어서다.
29일 개인정보보호법에 따르면, 연 매출 10억원 이상이면서 관리하는 개인정보가 하루 평균 1만명 이상인 회사는 의무적으로 개인정보배상책임보험에 가입해야 한다. 최근 해킹 사고로 개인정보를 유출한 SK텔레콤·KT·롯데카드도 보험에 가입돼 있다. 매출액이 800억원 이상이고 관리하는 개인정보가 100만명이 넘으면 보험 가입 금액은 10억원 이상으로 설정해야 한다.
개인정보배상책임보험은 회사가 업무 수행 중 소유·사용·관리하는 개인정보가 우연하게 유출·분실·도난·위조·변조·훼손돼 손해배상책임을 부담했을 때 발생하는 회사의 손해를 보상한다. 고객의 손해를 회삿돈이 아닌 보험사가 지급하는 보험금으로 배상하는 셈이다.
보험 보상은 보험사가 피해 고객에게 직접 보험금을 지급하는 방식으로 이뤄진다. 회사 고객센터에 피해가 발생했다는 신고가 접수되면, 회사는 이 피해가 개인정보 유출 사고 때문인지 판단한다. 개인정보 유출과 금전적 손해의 인과관계가 성립되면 보험 접수가 진행되고, 보험사는 고객에게 보험금을 지급한다. 회사가 먼저 고객에게 손해배상을 한 뒤 보험사로부터 배상금 일부 또는 전부를 받을 수도 있다.
하지만 보험 보상이 진행되는 경우는 드물다. 회사가 법률상 책임을 부담하는 경우에만 보험금이 지급된다는 조건 때문이다. 개인정보가 유출됐다고 자동으로 회사의 손해배상 책임이 인정되지 않는다.
전문가들은 개인정보 유출로 부정 결제 등 금전적 손해가 발생해야 법적 책임이 인정된다고 분석한다. 개인정보 유출에 따른 불안감과 더 큰 피해를 방지하기 위해 휴대전화 대리점에서 긴 줄을 서가며 유심(USIM)을 교체하는 것 등은 금전적 손해로 보지 않는 것이 현실이다.
금전적 손해가 발생해도 이 손해가 개인정보 유출로 인한 것인지 입증하는 것은 고객 몫이다. SK텔레콤과 롯데카드가 피해 발생 시 100% 배상하겠다며 고개를 숙여도 실제 손해가 회복되기는 어려울 것이란 전망이 나오는 이유다. 일각에서는 개인정보보호법에도 고객이 아닌 회사가 고의·과실이 없음을 입증하는 입증책임 전환을 적용해야 한다고 주장한다.
개인 정보를 유출한 회사가 제시하는 보상안도 법률상 책임을 이행하는 것이라 보기 어렵다. 보상은 법적 책임이 없는 행위로 발생한 피해를 보전할 때 쓰는 단어다. SK텔레콤이 유심 교체 비용을 지원하고 롯데카드가 피해 고객의 카드 재발급 비용과 연회비를 면제해주는 것은 도의적인 책임에 따른 금전적 혜택의 일종이다.
손해사정사 무료 선임 서비스 '올받음'을 운영하는 어슈런스의 염선무 대표는 "개인 정보 유출 자체로는 손해배상 책임이 인정되기 쉽지 않고, 실제 금전적 손해가 발생한 경우로 책임이 제한된다"며 "고객 관리 또는 사회적 시선 등을 고려한 보상안은 배상 책임과는 별개다"라고 했다.
☞올받음은
손해사정사와 상담·업무 의뢰를 할 수 있는 플랫폼으로, 어슈런스가 운영하고 있다. '손해사정사 선임권' 서비스를 운영하며 실손보험을 비롯한 배상 책임, 교통사고 등에 대한 다양한 콘텐츠를 생산하고 있다.