|
분쟁조정위는 “SKT가 개인정보보호법상 보호조치 의무 위반으로 가입자 휴대전화번호, 가입자식별번호(USIM), 유심(USIM) 인증키 등 25종 개인정보를 유출해, 휴대전화 복제 피해 불안과 유심 교체 불편에 따른 정신적 손해를 인정해 배상금을 결정했다”고 설명했다. 다만 “유출경로 차단 및 유심교체 조치로 개인정보 침해행위는 중지된 것으로 판단했으며, 원상회복은 실현되기 어려워 받아들이지 않았다”고 했다.
분쟁조정위 “피해 구제 기대”, SKT “선제 보상 노력 반영 안 돼”
개보위 집단분쟁조정 결과 손해배상 권고가 내려진 것은 2022년 메타 이후 두 번째다. 당시 메타는 페이스북의 회원정보 제3자 제공 논란으로 분쟁조정 신청인 181명에 대해 인당 30만원을 배상하라는 권고를 받았으나 수용하지 않았다.
정보 유출 피해 구제 강화 취지로 마련된 개인정보 분쟁조정 제도는 신청인과 상대방이 모두 조정안을 수용할 때만 민사소송법상 확정판결과 동일한 효력을 부여한다. 불성립 상태로 조정이 종료되면 소송 등 법적 절차로 이어질 수 있다.
우지숙 분쟁조정위원장 직무대행은 “당사자 주장과 의견을 심도 있게 논의해 마련한 조정안인 만큼 조정이 성립돼 신청인들 피해가 구제되기를 기대한다”고 전했다.
SKT는 “선제 보상 노력이 충분히 반영되지 않은 것이 아쉽다”고 밝혔다. 조정안 수락 여부는 면밀히 검토해 결정할 방침이다.
징벌 중심 제도, 기업 자율 보상 가로막을 수도
이번 조정안을 계기로 해킹사고 기업의 자율 보상과 책임 구조가 위축될 수 있단 우려도 제기된다. SKT는 위약금 면제를 비롯해 전체 고객 대상 유심 무상 교체, 요금 감면과 데이터 무상 제공 등 1조원대 규모로 자체적으로 마련한 고객 보상 조치를 시행했으나 별도의 손해배상 권고가 내려진 셈이다.
개보위 관계자는 “기업이 일방적으로 만든 보상안으로 피해 보상이 완료됐다고 보긴 어렵다”며 “기업과 당사자 간 자율적으로 손해배상을 합의하되 그렇지 못하면 분쟁조정 절차를 거치는 것”이라고 말했다.
기업이 자체 보상에 나서도 결국 추가 책임이 뒤따를 수 있단 점에서 오히려 선제 보상 의지가 꺾일 수 있단 지적도 나온다. 한 업계 관계자는 “기업의 자진 노력이 반영되지 않고 과징금과 조정금이 중복되면, 기업은 이제 스스로 보상책을 만들기보다 앞으로 내야 할 벌금 리스크를 우선 고려하게 될 것”이라고 말했다.
SKT와 유사한 집단분쟁조정 사례인 메타는 페이스북 이용자 친구 정보를 제 3자 앱에 무단 제공한 고의성이 인정됐음에도, 해킹 피해로 정보가 유출된 SKT과 동일 액수 손해배상 권고를 받은 점도 주목된다. 개보위 관계자는 “사안이 달라 단순 비교는 어렵다”면서도 “SKT는 유심정보 유출에 따른 2·3차 피해 확산에 대한 불안감이 정신적 손해로 인정된 것”이라고 부연했다.
전문가들은 현행 개인정보보호 제도가 여전히 ‘징벌 중심’에만 머물러 있다고 지적했다. 유럽연합(EU)의 일반개인정보보호법(GDPR)은 신고 기업의 선의와 복원 노력을 감안해 제재를 감경하는 반면, 국내 제도는 여전히 ‘사후 징벌’에 치우쳐 있다는 것이다.
김도승 전북대 교수는 “SKT이 정보 주체 의사에 반해 특정 정보를 활용해 위법적 이익을 얻은 사안은 아니므로, 정부도 신속한 분쟁 처리보단 기업이 자발적인 노력을 할 수 있도록 충분한 시간을 주는 것도 필요했다고 본다”며 “징벌 중심에서 예방 중심 정보보호 제도로 가기 위한 개선도 중요하다”고 제언했다.
