사진=게티이미지뱅크
사진=게티이미지뱅크
LG유플러스가 최근 불거진 개인정보 유출 사태로 소송 위기에 처했다. 소비자단체는 적절한 보상이 이뤄지지 않을 경우 공동소송에 나서겠다고 했고, 이용자들 사이에서도 집단소송 움직임이 일고 있다.

하지만 현실적으로 개인정보 유출로 인한 피해를 입증하는 것도, 손해배상을 받는 것도 어려울 전망. 유사 판례를 보면 "기술적 문제로 고의성이 없어 책임을 묻기 어렵다"는 취지로 번번이 통신사 손을 들어줬기 때문이다. 솜방망이 처벌이 이용자들 피해만 키운다는 지적이 나온다.

경찰·KISA 등 개인정보 유출 사태 조사 착수

15일 업계에 따르면 개인정보보호위원회(개인정보위)와 경찰, 과학기술정보통신부, 한국인터넷진흥원(KISA)은 지난 9일부터 LG유플러스의 개인정보 유출 사태에 관한 사실조사에 착수했다.

18만명의 개인정보가 유출된 것으로 알려졌는데, 유출 규모가 이보다 더 클 수 있다는 관측이 나온다. 한국소비자단체연합은 "한 온라인 사이트에서 LG유플러스 고객 정보 판매가 이뤄졌는데 해커가 보유했다고 주장한 데이터는 2000만건에 달한다"고 의혹을 제기했다.
서울 용산구 LG유플러스 본사 모습. (사진=뉴스1)
서울 용산구 LG유플러스 본사 모습. (사진=뉴스1)
개인정보위도 지난 11일 브리핑에서 "개인정보 18만건이 유출됐다고 알려져 있는데, 그것보다 많은 유출이 있을 수 있다"며 "유출 규모를 철저하게 확인할 것"이라고 말했다.

가입자 정보 대부분이 유출됐다. LG유플러스가 밝힌 유출 정보에는 △성명 △생년월일 △전화번호 △주소 △암호화된 주민등록번호 △가입자 고유식별번호(IMSI) △단말기 고유식별번호(IMEI) △유심번호 △이메일 △가입일 △고객 정보 변경 시간 △웹아이디 등이 포함됐다.

이용자 불안 커져…소비자단체 "공동소송"

이용자들은 불안을 감추지 못하는 모습이다. 스마트폰 관련 온라인 커뮤니티 한 이용자는 "통신사들 개인정보 유출이 심각한데 유심까지 털린 건 처음 본다"면서 "어쩐지 이상한 전화, 스미싱 문자가 오더라. 찝찝해서 어떻게 쓰냐"고 말했다.

또 다른 이용자도 "LG유플러스 홈페이지에서 조회해보니 개인정보가 유출됐다. 해지하고 싶은데 위약금은 면제해줄지 모르겠다"며 불만을 털어놨다.

한국소비자단체연합은 소송전도 불사하겠다는 입장이다. 소비자단체연합은 "LG유플러스는 정확한 유출 시점과 경위, 개인정보 내역 등을 투명하게 공개하고 재발 방지 대책을 마련하라"며 "적절한 보상이 이뤄지지 않을 경우 공동소송이나 집단소송을 제기하겠다"고 말했다.

일부 이용자들 사이에서도 집단소송 얘기가 나왔다. 주식 관련 온라인 카페 이용자는 "개인정보가 유출된 걸 이렇게 어물쩍 사과하고 넘어가는 건 말이 안 된다"며 "집단소송이 필요하다. 최소한의 피해 보상은 있어야 하지 않느냐"고 말했다.

개인정보 유출 빈번…'981만명' 유출 전적도

통신사의 개인정보 유출 사태는 하루 이틀 일이 아니다. 해커나 내부 직원, 대리점 등 다양한 경로로 개인정보 유출 사고가 빈번하게 발생한다.

이번 사고가 난 LG유플러스는 2020년 대리점을 통해 가입자 개인정보 1만건이 유출됐다. 2021년에는 임직원 메일 3만여건이 해커에게 새어나갔다. 지난해 11월에는 대리점 시스템의 개인정보 안전조치 모의테스트 과정에서 실제 개인정보파일을 사용해 개인정보위의 과태료 처분을 받았다.

KT도 작년 11월 테스트 계정으로 로그인한 상태의 인터넷 주소를 담당자 실수로 고객들에게 발송해 개인정보가 유출됐다.

시간을 거슬러 올라가면 개인정보 유출 규모는 더 커진다. 2012년 KT에서는 전산망 해킹으로 870만명의 개인정보가 유출됐고, 이듬해인 2013년에는 홈페이지 해킹으로 981만명의 개인정보가 빠져나갔다.

2011년 SK텔레콤의 자회사 SK커뮤니케이션즈에서는 네이트와 싸이월드 회원 3500만명의 개인정보가 해킹으로 유출됐다. 2014년에는 SK텔레콤이 고객 15만명의 개인정보를 사전 동의 없이 무단 사용하다가 적발됐다. 2010년에는 전자처방전 서비스를 통해 환자들의 개인정보를 유출한 혐의로 재판에 넘겨졌다.
사진=게티이미지뱅크
사진=게티이미지뱅크

솜방망이 처벌만…손배 청구 번번이 '패소'

대규모 개인정보 유출에도 솜방망이 처벌에 그쳤다. 이용자들의 손해배상 청구 소송이 줄을 이었지만 제대로 된 보상을 받은 이는 없었다. 법원이 매번 통신사의 손을 들어줬기 때문이다.

2012년 KT 가입자 870만명의 개인정보가 유출된 사고에서는 이용자 3만명이 KT를 상대로 153억원의 손해배상 청구 소송을 제기했다. 법원은 "기술 문제로 고의성이 없다"며 KT의 손을 들어줬다. 17건 소송 중 16건이 모두 KT 승소로 결론 났다. 현재 항소심 1건이 남아있을 뿐이다.

981만명의 개인정보가 유출된 사고에서는 고객 400여명이 KT에 손해배상 청구 소송을 냈다. 하지만 법원은 "개인정보 보호를 위한 법률상 의무를 다했으니 책임을 묻기 어렵다"고 판단했다.

개인정보 유출로 법정에 선 페이스북 사례와는 전혀 다른 결과다. 페이스북의 모회사 메타는 지난해 말 개인정보 유출 피해자들에게 7억2500만달러(약 9300억원)를 배상하기로 합의했다.

이는 메타가 집단소송으로 지급한 합의금 가운데 가장 높은 금액이 나온 소송이자 미국에서 진행된 개인정보 유출 집단소송 역사상 가장 큰 성과로 평가받는다.

"피해자 보호 어려워…통신사 정보보호 투자 늘려야"

특단의 조치가 없는 한 통신업계의 개인정보 유출 사고가 끊이지 않을 것이란 우려가 나온다. 개인정보 보호에 관한 정부 가이드라인도 기준을 높일 필요가 있다는 지적이 뒤따랐다. 기업의 개인정보 보호를 위한 인력과 투자 기준을 보다 강화할 필요가 있다는 얘기다.

KISA 정보보호 공시를 보면 지난해 LG유플러스의 정보보호부문 투자액은 291억8660만원으로 매출액의 0.2%에 불과했다. SK텔레콤(626억5700만원·SK브로드밴드와 별도)과 KT(1021억1000만원)는 매출액의 0.5%가량 투자했다. 정보보호부문전담인력도 LG유플러스는 91명, SK텔레콤과 KT는 각각 196명, 335명이다.

통신업계 관계자는 "개인정보 유출이 자주 일어나지만 현실적으로 피해자 보호가 어려운 것은 사실이다. 집단소송을 한다고 해도 보상받을 가능성이 매우 적다"며 "정부가 가이드라인을 높게 잡아주는 수밖에 없다. 관련 투자를 늘리도록 해야 한다"고 말했다.

김은지 한경닷컴 기자 eunin11@hankyung.com