[구멍뚫린 보안망] 금전적 손실 없는 한 보상 막막

(아주경제 이재호 방영덕 기자) 사이버테러가 국민 경제의 근간인 금융권으로 확산되고 있지만 현행 법상 피해 고객에 대한 보상이 쉽지 않아 논란이 일고 있다.

구체적인 금전적 손실이 발생하지 않는 한 보상이 어렵다는 논리지만, 선진국의 경우 단순 정보 유출에 대해서도 광범위한 피해 보상이 이뤄지고 있어 국내 제도 개선이 시급하다는 지적이다.

14일 관련 업계에 따르면 최근 발생한 현대캐피탈 해킹 사태로 정보유출 등의 피해를 입은 고객은 42만명을 넘어섰다.

현대캐피탈 측은 최종 피해 고객을 확정하는 데 1~2개월 가량이 소요될 것으로 예상했다.

금융회사 서버에 대한 대규모 해킹이 벌어진 것은 이번이 처음으로, 외부 공격에 취약한 보안시스템과 고객정보 관리의 허술한 실태가 적나라하게 드러났다.

민간 기업에 대한 해킹이 본격적으로 이뤄진 것은 2000년대 중반 이후로, 2007년 다음이 해킹 공격을 당해 고객 정보가 유출됐으며 2008년에는 옥션과 GS칼텍스에서 1000만명 이상의 고객 정보가 외부로 빠져나갔다.

이처럼 사이버테러에 대한 공포가 확산되고 있지만 피해 고객에 대한 보상은 여의치 않은 상황이다.

전자금융거래법은 접근매체(전자금융 거래에 사용되는 수단 및 정보)의 위·변조 사고, 전자적 전송 및 처리 과정에서 발생한 사고, 접근매체 분실 및 도난으로 발생한 사고로 인해 이용자에게 손해가 발생할 경우 배상 책임이 있다고 명시하고 있다.

단순 정보유출은 배상 책임 의무가 없다는 의미다.

한 법조계 인사는 "단지 개인정보가 유출돼 느끼는 불안감만으로는 손해 배상이 어렵다"며 "현대캐피탈 해킹으로 피해를 입은 고객의 경우 사측의 보안이 허술했다는 점과 그로 인해 개인 정보가 도용돼 금전적 피해를 입었다는 점을 입증해야 보상을 받을 수 있다"고 말했다.

금융당국 관계자도 "전자금융거래법은 거래 과정에서 발생한 사고에 한해 책임을 묻기 때문에 적용하기가 쉽지 않다"며 "현재로서는 관련 법령에서 근거를 찾기 어렵다"고 토로했다.
　
실제로 옥션과 GS칼텍스 등에서 대규모 개인정보 유출 사태가 벌어진 후 피해 고객들이 집단소송을 제기했지만 모두 패소했다.

법원은 도의적 책임은 있지만 사측이 보안 관리자로서 의무를 위반한 사실은 없다고 판시했다.

반면 미국과 유럽 등 선진국에서는 사이버테러로 인한 피해 보상이 광범위하게 이뤄지고 있다.

미국 신용정보제공사인 초이스포인트사는 2004년 14만여명의 개인정보를 유출해 보안 실패 및 개인정보 취급에 관한 소비자 권리 침해 등을 이유로 1000만달러의 벌금과 500만달러의 손해배상금을 지급한 바 있다.

일본 최대 인터넷전화 사업자 소프트뱅크BB도 800여만명의 고객정보 유출에 따른 책임을 지고 40억엔의 손해배상금을 지급했다.

이 때문에 정부가 제도 개선을 통해 기업의 책임을 강화하는 조치를 취해야 한다는 목소리가 높다.

기업을 상대로 한 집단소송을 전담하는 한 변호사는 "외국에서는 사회적 책임이 큰 기업의 경우 개인정보 유출에 따른 피해 입증만 하면 보상을 받을 수 있다"며 "국내에서는 아직 어렵지만 징벌적 손해배상 청구가 가능하도록 제도를 개선할 필요가 있다"고 말했다.