‘9580만건.’

2008년 이후 국내에서 일어났던 주요 해킹 사건으로 인해 유출된 개인정보의 숫자다. 어림잡아 국민 1인당 두 번씩은 개인정보가 유출된 셈이다. 주민등록번호만 알 수 있어도 다른 사람의 사생활을 엿볼 수 있는 국내 여건상 개인정보 유출 사고는 끊이지 않고 있다. 유출된 정보는 각종 마케팅은 물론 보이스피싱 등 범죄의 도구로 악용되기도 한다. 피해를 보는 국민은 나날이 늘어가는 상황이지만 개인정보를 유출당한 업체들이 책임을 지는 모습은 찾아보기 어렵다.

◆네이트 해킹 사건 무혐의

지난 28일은 네이트·싸이월드 이용자의 정보 유출이 발표된 지 꼭 1년째 되는 날이다. 피해 규모는 3500만명으로 국내에서 일어났던 개인정보 유출사고 가운데 최대 숫자다. 최근 경찰은 이 사건을 무혐의로 결론짓고 검찰에 송치한 것으로 알려졌다.

2008년 6월 개정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)은 기술적·관리적 보호 조치를 하지 않아 이용자의 개인정보를 유출시킨 사업자에게 1억원 이하의 과징금과 함께 2년 이하의 징역이나 1000만원 이하 벌금을 부과할 수 있도록 했다. 하지만 대규모 개인정보 유출 사고로 인해 과징금이나 과태료를 낸 사업자는 한 군데도 없다.

◆‘피해 입증’ 쉽지 않아

민사소송의 경우도 상황은 비슷하다. 주민번호와 휴대폰번호 등이 유출되면 보이스피싱이나 게임 아이템 탈취 등 ‘2차 피해’를 입을 가능성이 크지만 실제 피해가 발생해도 인과관계 입증이 어렵기 때문이다. 보이스피싱을 당했더라도 KT 사건에서 탈취됐는지 네이트 해킹 때 빠져나간 정보인지 알 방법이 없다는 얘기다. 옥션과 GS칼텍스 해킹 사건도 피해자들이 손해배상 소송을 걸었지만 인과관계 입증에 실패해 모두 패소했다.

지난 4월 네이트·싸이월드 해킹 사건 손해배상 소송은 이례적으로 1심에서 승소했다. 당시 대구지방법원 김천지원 구미시법원은 개인정보 유출 피해자에게 100만원을 지급하라고 판결했지만 SK컴즈는 항소심을 준비 중이다. 이 사건을 맡은 유능종 변호사는 “지금까지 민사상으로 배상 책임을 인정한 경우는 내부 직원이 고의로 정보를 빼돌린 사건에 한정돼 있다”며 “KT 사건도 소송을 통해 직접적 피해를 묻기는 어려울 것”이라고 설명했다.

김보영/이승우 기자 wing@hankyung.com