【뉴스퀘스트=법무법인 서울 조기제 변호사】 ‘데이터’를 ‘21세기의 석유’라고 한다. 그만큼 개인정보의 가치는 막대하다. 동시에 유출·남용될 경우 사회 전체에 치명적 손해를 끼친다.

최근 수년간 대형 포털, 통신사, 병원, 심지어 공공기관에 이르기까지 대규모 개인정보 유출 사건이 잇따랐다. SKT 개인정보유출 사태로 전 국민의 거의 절반이 개인정보유출의 피해자가 되었다.

사건이 터지면 언론과 유튜버, 정치인들은 자극적인 말들을 쏟아내며 불안감을 조성하고, 변호사들은 집단소송이나 광고 효과를 노리고 우후죽순 장터에 좌판을 펼친다.

그러나 시간이 조금만 지나도 모두 잊어버리고 사건이 어떻게 되었는지조차 관심이 없다. 정부도 정치적 파장을 고려해 조용히 지나가기만을 기다린다.

막상 소비자이자 개인정보의 주체인 국민에게는 아무것도 알려주지 않는다.

디지털 시대를 살아가는 우리는 개인정보 유출의 피해자가 될 수 있지만 동시에 타인의 개인정보를 침해할 수도 있으므로 개인정보에 대한 기본적인 지식과 패치를 항상 휴대해야 한다.

디지털 시대의 핵심 자산인 개인정보에 대해서 알아보자.

◆ 개인정보란 무엇인가

개인정보란, 살아있는 개인에 대한 정보로서 그 사람을 특정할 수 있는 정보를 말한다.

따라서 사망한 사람의 정보나, 사람이 아닌 법인이나 단체에 대한 정보는 개인정보가 아니다.

하지만 사망한 사람에 대한 정보라도 유족에 대한 개인정보가 될 수도 있고, 법인이나 단체에 대한 정보라도 법인이나 단체의 구성원에 대한 개인정보가 될 수도 있으므로 유의해야 한다.

개인정보는 사람을 특정할 수 있는 정보여야 한다. 개인을 특정할 수 없는 것은 개인정보가 아니지만, 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있다면 개인정보에 해당한다.

이름, 주민등록번호는 물론, 신용카드번호, 신용카드 사용내역, 하이패스 결제내역, 차량번호, 입출차 기록, ID, 비밀번호, CCTV 영상 등이 개인정보의 대표적인 예이다.

이와 같이 개인정보는 폭넓게 인정될 수 있으므로 일단 사람과 관련된 정보라면 개인정보에 해당할 수 있다는 생각으로 신중하게 다루어야 한다.

◆ 개인정보의 수집, 이용 절차

개인정보보호법은 개인정보를 수집, 이용하기 위한 절차와 요건을 상세하게 정하고 있다.

따라서 개인정보의 수집,이용, 제3자 제공, 목적외 이용, 제공, 정보 주체 이외의 자로부터 개인정보를 수집한 경우 고지 의무, 보유기간 경과시 파기 의무, 정보주체의 동의를 받는 방법, 민감정보와 고유식별정보의 처리, 주민등록번호의 처리, 영상정보처리기기의 설치, 운영, 개인벙보 처리 업무의 위탁 등 개인정보를 수집하거나 이용하기 위해서는 상황에 따라 법령에서 정한 절차를 준수해야 한다.

타인에 대한 정보를 취급해야 한다면, 수집하려는 개인정보의 내용, 수집 목적, 사용 범위 등에 따라서 구체적인 절차나 방법을 사전에 확인한 다음 상황에 따라 적합한 개인정보 관리 시스템을 만들어야 한다.

개인정보포털(www.privacy.go.kr) 등에는 업종별, 상황별 개인정보보호 매뉴얼을 제공하고 있으므로 이를 참고하면 된다.

◆ 정보주체의 권리

정보주체는 개인정보처리자에게 자신의 개인정보에 대한 ① 열람, ② 정정, ③ 삭제, ④ 처리정지를 요구할 권리가 있다.

정보주체는 이러한 권리를 통해 자신의 개인정보에 접근하고 이를 관리, 통제할 수 있다.

◆ 정보처리자의 과실 판단 기준

개인정보 유출 사건에서 가장 중요한 쟁점은 정보처리자가 안전조치 의무를 위반했는지, 즉 과실 여부이다.

법원은 기업이 법령에서 요구하는 '최소한의 기준'만 충족했는지를 넘어, '합리적으로 기대할 수 있는 정도의 보호조치'를 다했는지를 실질적으로 심사한다.

해킹 방지 조치를 판단함에 있어, 단순히 법령이 요구하는 최소한의 조치를 이행했는지 뿐만 아니라, 해킹 수법의 발전 속도, 정보처리자가 처리하는 정보의 민감성 및 규모, 예상되는 침해의 결과 등을 종합적으로 고려하여 당시의 기술 수준과 사회 통념상 합리적으로 기대 가능한 정도의 보호조치를 다했는지 여부를 기준으로 판단해야 한다(대법원 2017. 4. 7. 선고 2016다10931 판결).

나아가 법원은 이 '합리적 조치'를 판단할 때, 특히 중요 정보의 암호화 방식을 엄격하게 본다. 예를 들어, 비밀번호를 복호화 가능한 형태로 저장했거나(단방향 암호화 미적용), 암호화 시 Salt(솔트)를 사용하지 않아 무차별 대입 공격에 취약하게 만든 경우 등은 중대한 과실로 인정될 가능성이 높다.

또한, 정기적인 보안 패치 미적용, 중요 개인정보에 대한 이중 접근통제(Two-Factor Authentication) 미비 등은 기업의 예견 가능성과 회피 의무 위반을 입증하는 주요 근거가 된다.

일단 과실이 인정되더라도 과실과 개인정보유출 사이에 인과관계가 인정되어야 한다.

그런데 과실과 인과관계 여부 판단은 매우 기술적인 부분이라서 일반인이 판단하기는 쉽지 않다.

◆ 2차 피해 입증의 어려움

기업의 과실이 인정된다고 하더라도 정보주체가 배상을 받는 것은 쉽지 않다.

정보유출 그 자체만으로는 재산적 손해를 인정받을 수 없다. 유출된 정보가 보이스피싱, 스팸메일, 명의도용 등 2차 피해로 이어지고 그로 인해 재산적 피해를 보게 된 경우, 정보유출과 2차 피해 사이의 인과관계를 입증하기가 어렵기 때문이다.

따라서 ‘개인정보’ 그 자체의 재산적 가치를 인정할 필요가 있다. 다만 그 내용과 기준에 대해서는 입법이 필요하다.

◆ 개인정보 유출에 대한 위자료

재산상 손해 입증이 어려운 개인정보 유출 사건에서, 정보주체는 개인정보유출로 인한 정신적 손해를 위자료로 배상받을 수 있다.

그러나 우리 법원에서 인정하는 개인정보유출 사건의 위자료는 대체로 10만 원 선이다. 누가 보더라도 충분하지 않다.

위자료에 대한 법원의 태도가 바뀌지 않는 이상 기업의 태만한 개인정보관리 관행은 개선되기 어렵다.

최근의 SKT 개인정보유출 사건에 대해서는 위자료가 상향될 것으로 예상하는 의견이 많다. 관심 있게 지켜볼 일이나 여전히 50만 원을 넘지 못할 것으로 보인다. 결국 입법 등 궁극적인 대책이 필요하다.

◆ 헌법상 개인정보자기결정권에 따라 보호되는 권리

개인정보는 법률상의 권리를 넘어서 헌법상 보장되는 개인정보자기결정권에 의해 보호되는 헌법상의 권리이다.

그리고 개인정보자기결정권에 의해 보호되는 개인정보는 반드시 내밀한 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다.

대법원은 국회의원이 ‘각급 학교 교원의 교원노조 및 교원단체 가입현황 실명 자료’를 공개한 사건에서, 이러한 정보는 헌법상 보장되는 개인정보자기결정권의 보호대상이 되는 개인정보에 해당하고 이를 공개한 표현행위로 인한 이익이 공개되지 않음으로써 보호받는 이익에 비해 우월하다고 볼 수 없다는 이유로 이러한 공개행위가 위법하다고 판단하였다(대법원 2014 7. 24. 선고 2012다49933 판결)

◆ 이미 공개된 개인정보에 대해서도 동의가 필요한지

이미 공개된 개인정보를 처리하는 경우, 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서는 별도의 동의를 받을 필요가 없다.

대법원은, 법률정보 제공 사이트를 운영하는 회사가 공립대학교 법학과 교수로 재직중인 사람의 사진, 성명, 출생연도, 직업, 직장, 학력, 경력 등의 개인정보를 그 대학교 법학과 홈페이지 등을 통해 수집하여 위 사이트의 법조인 항목에서 유료로 제공한 사안에서, 그 교수의 별도의 동의를 받지 않았다고 하더라도 개인정보보호법을 위반한 것이라고 볼 수 없다고 하였다(대법원 2016. 8. 17. 선고 2014다235080 판결)

◆ 표현의 자유와 충돌시 위법성 판단 기준

개인정보에 대한 인격적 법익과 표현의 자유가 충돌하는 경우, 개인이 공적인 존재인지 여부, 개인정보의 공공성 및 공익성, 개인정보 수집의 목적, 절차, 이용형태의 상당성, 개인정보 이용의 필요성, 개인정보 이용으로 인해 침해되는 이익의 성질 및 내용 등 여러 사정을 고려해, 두 가지 법익을 비교 형량하여 어느 쪽이 우월한지에 따라 위법성 여부를 판단한다.

앞서 교원노조 등 명단공개 사건에서는 개인정보 보호로 인한 이익이 더 우월하다고 보았다.

변호사 정보 제공 웹사이트 운영자가 변호들의 정보를 제공한 사건에서 변호사들의 승소율, 전문성 지수 등을 제공한 것에 대해서는 공개로 인한 이익이 더 우월하다고 판단하였다.

그러나 같은 사건에서 변호사들의 인맥지수를 산출하여 공개한 것에 대해서는 정보보호로 인한 이익이 우월하다고 보았다(대법원 2011. 9. 2. 선고 2008다42430 판결).

◆ 국가적 차원의 개인정보 관리 시스템 구축해야

개인정보보호는 단순한 규제의 문제가 아니다. 그것은 국민의 권리를 어디까지 보호할 것인지, 기업의 자유와 책임을 어떻게 조화시킬 것인지, 나아가 데이터 시대의 민주주의를 어떻게 구현할 것인지에 관한 사회적 합의 과정이다.

그리고 개인정보보호의 문제는 단순히 정보주체와 정보처리자 사이의 개인적인 문제가 아니다. 사회 전체의 시스템의 문제로 보아야 한다.

기술 발전과 사회구조 변화에 발맞추어 정보주체, 정보처리자, 국가가 힘을 합쳐 무한한 가치를 지닌 데이터 특히 개인정보를 보호하고 관리하는 시스템을 구축해야 하는 것이다.

<조기제 변호사 프로필>

- 서울 상문고등학교 졸업
- 서울대학교 경제학과 졸업
- 사법고시 44회 합격
- 사법연수원 34기 수료
- 제주지방검찰청 검사
- 수원지방검찰청 안산지청 검사
- 창원지방검찰청 검사
- (현) 법무법인 서울 변호사
- 세무사, 형사전문변호사

<세상을 보는 바른 눈 '뉴스퀘스트'>