형식적 '사과'로 위기모면… 보안투자 또다시 외면 '반복'
유출기업 직접적 손해배상 통해 '제대로 된 대가' 치러야
기업들이 대형 정보유출 사고를 일으키고도 소비자에게 손해배상을 제대로 하지 않던 관례가 결국 또 다른 대규모 정보유출 사고를 야기한다는 연구결과가 나왔다.
개인정보보호위원회가 용역 연구해 27일 공개한 '개인정보의 가치와 개인정보 침해에 따른 사회적 비용분석' 보고서에 따르면, 피해자 손해배상이 기업에게는 엄청난 타격인데도 실질적인 손배가 이뤄진 적이 없어, 유출기업은 형식적 사과로 위기를 모면하고 보안투자는 다시 외면하게돼 정보유출이 반복되는 것으로 지적됐다.
보고서는 기업이 정보유출을 일으켰을 경우 유출 피해자에 대한 대응비용과 기업설명(IR)비용, 매출 손실 등으로 발생하는 비용이 해당 기업의 '총 손실'이라고 분석했다. 이에 따르면 SK커뮤니케이션즈(3500만명), 넥슨(1320만명)을 비롯해 현대캐피탈(175만명), 엡손(35만명), 한화손해보험(16만명) 등 정보유출 사고가 폭증한 지난 2011년의 경우 기업의 손해 총액은 2400억원 가량으로 집계된다. KT(780만명)와 EBS(400만명) 등의 정보유출이 일어난 2012년 해당 기업의 손해 총액은 1780억원 가량이다.
하지만 이 비용은 '피해자에 대한 손해배상'을 제외한 수치다. 실제로 해당 기업들은 정보유출 피해자에 대해 대부분 배상을 하지 않았다.
보고서는 "기업이 실질적으로 입은 손해 외에 정보유출로 인한 소비자 피해까지 산정하면 약 56%의 추가 피해 금액이 발생한다"면서 "이는 보수적인 추정이며 유출된 정보가 악용돼 2차 피해까지 양산하는 점 등을 고려하면 실제 피해액은 훨씬 클 것"이라고 예상했다.
즉 기업이 정보유출 사고가 발생했을 때 치러야 하는 '대가'는 실제 소비자들이 겪어야 하는 피해보다 상당히 적은 것이라는 얘기다. 보고서는 "기업은 정보보호에 투자하는 비용이 그로 인해 얻게 되는 실익(혹은 정보보호를 하지 않았을 때 발생할 수도 있는 손해)에 비해 적다고 느끼는 것으로 나타났다"면서 "기업의 이같은 사고방식은 장기적인 관점에서 매우 큰 위험성을 내포하고 있다"고 꼬집었다.
이와 관련 관계전문가들은 기업이 정보유출 사고에 대해 '제대로 된 대가'를 치르기 위해서는 '소비자에 대한 직접적 손해배상'을 하도록 해야한다고 지적한다.
임종인 고려대 정보보호대학원장은 "기업이 정보를 유출한 책임을 뼈저리게 통감하려면 소비자 피해배상을 하는 것이 가장 효과적"이라면서 "하지만 이런 처분을 내릴 경우 정보를 유출한 기업이 '망할' 정도로 배상 규모가 커졌고, 때문에 당국은 사실상 법적 책임을 경감시켜주는 솜방망이 처벌을 하는 경우가 많았다"고 지적했다.
이는 결과적으로 제2, 제3의 정보유출 사고를 촉발시키는 배경이 되고 있다는 지적이다. 최근 정무위원회에서 부결된 '금융기관 징벌적 손해배상제' 역시 지나치게 금융기업 중심적인 사고를 벗어나지 못한 행태다. 이 제도는 소비자가 실제 피해를 자신이 직접 입증해야 하도록 규정하고 있는데, 이미 정보가 다 유출된 상황에서 손해 사실을 입증하기란 쉽지 않기 때문에 기업의 손해배상 책임을 '면피'시켜주는 도구로 전락할 수 있다는 것이다.
임 교수는 "징벌의 의미가 확실한 손해배상제를 도입해야 금융기관들이 보안투자가 정보유출 및 보안사고로 인한 손해보다 더 이익이 된다고 판단해 적극적인 보호조치에 나설 것"이라며 "손해배상으로 기업이 '망하는' 단계에 이르지 않도록 보호조치를 한다는 측면에서 '매출액 기준 배상 한도 총액제'를 신설하는 것도 방법"이라고 제안했다.
강은성기자 esther@
유출기업 직접적 손해배상 통해 '제대로 된 대가' 치러야
기업들이 대형 정보유출 사고를 일으키고도 소비자에게 손해배상을 제대로 하지 않던 관례가 결국 또 다른 대규모 정보유출 사고를 야기한다는 연구결과가 나왔다.
개인정보보호위원회가 용역 연구해 27일 공개한 '개인정보의 가치와 개인정보 침해에 따른 사회적 비용분석' 보고서에 따르면, 피해자 손해배상이 기업에게는 엄청난 타격인데도 실질적인 손배가 이뤄진 적이 없어, 유출기업은 형식적 사과로 위기를 모면하고 보안투자는 다시 외면하게돼 정보유출이 반복되는 것으로 지적됐다.
보고서는 기업이 정보유출을 일으켰을 경우 유출 피해자에 대한 대응비용과 기업설명(IR)비용, 매출 손실 등으로 발생하는 비용이 해당 기업의 '총 손실'이라고 분석했다. 이에 따르면 SK커뮤니케이션즈(3500만명), 넥슨(1320만명)을 비롯해 현대캐피탈(175만명), 엡손(35만명), 한화손해보험(16만명) 등 정보유출 사고가 폭증한 지난 2011년의 경우 기업의 손해 총액은 2400억원 가량으로 집계된다. KT(780만명)와 EBS(400만명) 등의 정보유출이 일어난 2012년 해당 기업의 손해 총액은 1780억원 가량이다.
하지만 이 비용은 '피해자에 대한 손해배상'을 제외한 수치다. 실제로 해당 기업들은 정보유출 피해자에 대해 대부분 배상을 하지 않았다.
즉 기업이 정보유출 사고가 발생했을 때 치러야 하는 '대가'는 실제 소비자들이 겪어야 하는 피해보다 상당히 적은 것이라는 얘기다. 보고서는 "기업은 정보보호에 투자하는 비용이 그로 인해 얻게 되는 실익(혹은 정보보호를 하지 않았을 때 발생할 수도 있는 손해)에 비해 적다고 느끼는 것으로 나타났다"면서 "기업의 이같은 사고방식은 장기적인 관점에서 매우 큰 위험성을 내포하고 있다"고 꼬집었다.
이와 관련 관계전문가들은 기업이 정보유출 사고에 대해 '제대로 된 대가'를 치르기 위해서는 '소비자에 대한 직접적 손해배상'을 하도록 해야한다고 지적한다.
임종인 고려대 정보보호대학원장은 "기업이 정보를 유출한 책임을 뼈저리게 통감하려면 소비자 피해배상을 하는 것이 가장 효과적"이라면서 "하지만 이런 처분을 내릴 경우 정보를 유출한 기업이 '망할' 정도로 배상 규모가 커졌고, 때문에 당국은 사실상 법적 책임을 경감시켜주는 솜방망이 처벌을 하는 경우가 많았다"고 지적했다.
이는 결과적으로 제2, 제3의 정보유출 사고를 촉발시키는 배경이 되고 있다는 지적이다. 최근 정무위원회에서 부결된 '금융기관 징벌적 손해배상제' 역시 지나치게 금융기업 중심적인 사고를 벗어나지 못한 행태다. 이 제도는 소비자가 실제 피해를 자신이 직접 입증해야 하도록 규정하고 있는데, 이미 정보가 다 유출된 상황에서 손해 사실을 입증하기란 쉽지 않기 때문에 기업의 손해배상 책임을 '면피'시켜주는 도구로 전락할 수 있다는 것이다.
임 교수는 "징벌의 의미가 확실한 손해배상제를 도입해야 금융기관들이 보안투자가 정보유출 및 보안사고로 인한 손해보다 더 이익이 된다고 판단해 적극적인 보호조치에 나설 것"이라며 "손해배상으로 기업이 '망하는' 단계에 이르지 않도록 보호조치를 한다는 측면에서 '매출액 기준 배상 한도 총액제'를 신설하는 것도 방법"이라고 제안했다.
강은성기자 esther@
[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]
실시간 주요뉴스
기사 추천
- 추천해요 0
- 좋아요 0
- 감동이에요 0
- 화나요 0
- 슬퍼요 0