회사원 A씨는 요즘 시도 때도 없이 걸려오는 각종 마케팅 전화를 받으면서 '대체 내 전화번호를 어떻게 알았을까'하는 의문이 들 때가 많다. 자신이 가입한 인터넷 사이트 등에서 유출된 것으로 추정되지만 확인할 길이 없다. A씨는 꺼림칙한 마음에 경찰에 수사를 의뢰해볼까 망설이고 있다.

A씨의 정보가 만약 유출됐다고 해도 법적으로 이를 제재하기는 사실상 어렵다. 현행 '신용정보의 이용 및 보호에 관한 법률'(신용정보법)로는 법률 개정 전 유출 사례에 대해서는 처벌하기가 쉽지 않아서다.

21일 검찰에 따르면 서울중앙지검은 2007년 인터넷에서 사들인 고객의 성명과 전화번호,이메일 주소 정보를 이용해 문자 발송과 전화 통화,이메일 발송 등 영업에 활용한 혐의(신용정보법 등 위반)로 입건된 여신전문회사 B캐피탈의 대출 모집인들과 관리감독자인 B캐피탈에 대해 최근 무혐의 처리했다. 검찰은 고객의 성명과 전화번호는 신용정보가 아닌 단순 식별정보여서 신용정보법 등으로 처벌할 수 없다고 판단했다. 검찰은 정보 습득 시점(2007년)의 신용정보법에는 단순 식별정보 유출에 대한 처벌 조항이 없다는 점을 근거로 삼았다.

이 같은 법의 허점을 보완하기 위해 정부는 의원입법으로 지난 4월 신용정보법을 개정했다. 개정된 현행 신용정보법에서는 개인을 식별할 수 있는 정보도 개인 동의 없이 제공하거나 이용한 경우에는 3년 이하의 징역 또는 3000만원 이하의 벌금에 처하도록 하고 있다. B사의 경우 현행 법으로는 처벌대상이지만 정보 습득 시점이 2007년이어서 처벌을 면했다.

문제는 법 개정이 이뤄진 지난 4월 이전에 개인정보를 습득해 영업에 활용한 대부분 기업들이 B사처럼 처벌을 면하고 있다는 점이다. 행정안전부에 따르면 지난해 100만건 이상의 개인정보가 유출된 사건은 정유사인 G사 고객 1150만명의 정보 유출 등 모두 8건이 있었지만 신용정보법이나 정보통신망법 등 정보 유출 관련 법률 위반으로 처벌된 사례는 전무했다. 검찰은 G사에 대해서도 지난 2월 "정유사는 정보통신망법 상 개인정보 보호 의무가 있는 업체가 아니다"며 불기소 처분을 내렸다. 정보통신망법은 정유사도 개인정보 보호 의무가 있는 기업으로 포함시키도록 개정된 조항이 지난 7월에서야 시행됐다. 행안부 개인정보보호과 관계자는 "신용정보와 관련해 신용정보법,정보통신망법 등 법률이 분산돼 사각지대가 생겼다"고 말했다.

따라서 개인정보 유출 기업에 대해 손해배상을 받아낼 수 있을지도 불확실하다. 정보가 유출된 G사 고객 가운데 1만여명은 지난해 정신적 고통 등을 이유로 1인당 100만원씩 손해배상 청구 집단소송을 냈지만 검찰의 불기소 처분에다 다른 기업으로의 유출이 확인되지 않아 승소가 불투명한 상황이다.

서울중앙지방법원에 따르면 현재까지 개인정보 유출과 관련해 40~50건의 손해배상 집단소송이 제기됐지만 아직까지 판결이 나온 사례는 없다.

행안부는 개인정보 유출 사고를 줄이기 위해 공공 및 민간 부문의 개인정보 유출을 총괄하는 '개인정보보호법'을 지난해 11월 국회에 제출했지만 아직까지 계류 중이다. 행안부 관계자는 "국회에 세종시법 등 처리할 입법 현안이 많아 통과가 늦어지는 것 같다"며 "개인정보 유출을 효과적으로 제재하려면 법안 통과가 조속히 이뤄져야 한다"고 말했다.

임도원 기자 van7691@hankyung.com