올해 들어 쿠팡에서 발생한 대규모 개인정보 유출 사고를 비롯해 통신사 플랫폼 기업 공공기관을 가리지 않고 해킹 사고가 이어지고 있다. 국민 개인정보의 해외 유통 정황과 서비스 장애 수백억원대 금전 피해까지 확산되며 국민 불안이 커지는 상황이다. 쿠팡 사태의 경우 이미 국회 청문회가 열렸고 정부의 민관합동조사도 진행 중이나 사안의 중대성을 고려해 국정조사 필요성까지 거론되고 있다.

문제는 피해 구제가 제대로 이뤄지지 않고 있다는 점이다. 현행 ‘개인정보보호법’은 개인정보 유출 사고에 한해 입증책임 전환과 최대 5배의 징벌적 손해배상을 도입하고 있다. 그러나 해킹 피해 유형은 개인정보 유출에 국한되지 않는다. 올해 발생한 예스24 사고처럼 개인정보 유출이 없더라도 유료 서비스를 이용하지 못하거나 SGI서울보증 사고처럼 정상적인 경제활동이 중단되는 사례도 적지 않다.

이 같은 피해는 ‘개인정보 유출’ 요건을 충족하지 않는다는 이유로 보호 대상에서 제외돼 국민이 명백한 피해를 입고도 법적 구제를 받지 못하는 구조가 방치돼 왔다.

이번 개정안은 이러한 한계를 해소하기 위해 개인정보 유출 여부와 관계없이 더 넓은 범위의 해킹 사고를 보호 대상으로 삼고 ‘정보통신망법’에 입증책임 전환과 징벌적 손해배상 제도를 도입하는 내용을 담았다.

우선 침해사고로 인한 손해배상 청구 시 사업자가 스스로 고의 또는 과실이 없음을 입증해야 책임을 면하도록 했다. 전문지식이 부족한 일반 이용자가 입증 부담을 떠안아야 했던 구조를 바로잡기 위한 조치다.

또 사업자의 고의 또는 중대한 과실이 인정될 경우 손해액의 최대 3배까지 배상을 청구할 수 있도록 해 이용자 피해 보상은 강화하고 기업의 책임은 무겁게 했다. 이를 통해 보안 부실을 예방하고 정보보호 투자 확대를 유도한다는 취지다.

아울러 사고 조사 비용 부담 주체도 정부에서 기업으로 전환했다. 과학기술정보통신부 장관은 민관합동조사단 조사 결과 기업에 귀책사유가 인정돼 침해사고가 발생했다고 판단될 경우 해당 사업자에게 조사단 운영에 소요된 비용 전액을 부담하게 할 수 있도록 했다. 사고 원인 제공자와 비용 부담 주체 간 불균형을 해소하기 위한 장치다.

이해민 의원은 “해킹 사고의 원인이 기업에 있다면 원인 규명이든 비용이든 기업이 책임지는 것이 상식”이라며 “이번 개정안은 전문지식이 부족한 일반 이용자의 피해 구제 빈틈을 메우는 법으로 사업자에게 경각심을 주고 정보보호 투자를 확대하도록 유도하는 계기가 될 것”이라고 밝혔다.