2012년 해커들에 의해 발생한 ‘KT 개인정보 유출 사고’에서 회사 책임을 인정한 1심 판결이 2심에서 뒤집혔다. 서울중앙지법 민사항소4부는 18일 “회사가 정보보호 규정을 충실히 지켰다면 책임을 묻기 어렵다”는 판결을 내놨다. 기업이 수많은 해킹 수법을 일일이 예측하고 완벽하게 대응하기는 사실상 불가능하다는 점을 인정했다고 볼 수 있다.

일련의 정보유출 사고와 관련해 기업에 무한 책임을 요구할 수 없다는 법원 해석은 의미가 크다. 2015년 대법원은 온라인 경매업체 옥션의 정보유출 사건에 대해 비슷한 판결을 내린 바 있다. “충분한 정보보호조치를 취한 것으로 인정된다면 개인정보 유출에 책임을 지우기 어렵다”고 판단했다. 2016년 KT가 방송통신위원회를 상대로 제기한 해킹사건 관련 과징금 처분 취소 행정소송에서도 서울행정법원은 “해킹을 완전히 차단할 수 있는 완벽한 기술은 없다”고 판시했다.

정보유출 논쟁이 일 때마다 매번 소송으로 갈 수는 없는 노릇이다. 해킹 등 불법 행위는 엄벌하되 정보유출과 관련, 기업 책임을 둘러싼 불확실성은 개인정보보호법 등의 정비를 통해 조속히 해소해야 한다. 법적 보호절차를 충실히 따랐음에도 기업에 무한 책임을 요구하면 정상적 개인정보 활용 비즈니스까지 위축될 건 뻔한 일이다.

빅데이터 활용을 위한 개인정보보호법 정비 요구도 마찬가지다. 최근 정보통신기술(ICT)업계는 ‘데이터 족쇄 풀기 서명’ 운동에 들어갔다. 정부가 만든 ‘개인정보 비식별 조치 가이드라인’이 있지만 법적 구속력이 없고 불명확한 실정이다. 일부 시민단체가 정부의 가이드라인을 따른 삼성화재, 현대자동차, 통신 3사 등 20여 개 기업을 개인정보보호법 위반 혐의로 고발하는 일까지 일어났다.

완벽한 비식별화는 불가능하다. 더구나 시민단체가 요구하듯 완전 익명화로 가면 어떤 정보도 활용하지 말라는 것과 진배없다. 법적 절차를 준수한 비식별 정보는 활용의 길을 터주고, 범죄 목적 등의 재식별 행위는 엄벌하는 쪽으로 가는 게 맞다. 선진국은 ‘보호’와 ‘활용’의 균형을 추구한다. 세계에서 가장 강한 보호 위주 규제를 담은 개인정보보호법의 개정이 절실하다.