이해민 의원, ‘해킹 시 최대 3배 징벌적 손해배상’ 정보통신망법 개정안 발의

국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원은 해킹 사고로 발생한 이용자 피해를 실질적으로 구제하기 위해 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)’ 일부개정법률안을 대표 발의했다고 18일 밝혔다.

최근 쿠팡 대규모 개인정보 유출 사고를 비롯해 통신사, 플랫폼 기업, 공공기관을 가리지 않고 해킹 사고가 잇따르면서 서비스 장애와 금전 피해가 동반되고 있다. 개인정보의 해외 유통 정황, 서비스 중단, 수백억원대 피해까지 이어지며 국민 불안도 커지는 상황이다. 쿠팡 사고의 경우 국회 청문회와 정부의 민·관 합동조사가 진행 중이며, 국정조사 필요성까지 거론되고 있다.

문제는 피해 구제의 공백이다. 현행 개인정보보호법은 개인정보 유출 사고에 한해 입증책임 전환과 최대 5배의 징벌적 손해배상을 규정하고 있다. 하지만 해킹 사고로 인한 피해는 개인정보 유출에 그치지 않는다. 개인정보 유출이 없더라도 유료 서비스를 이용하지 못하거나, 보증·결제 등 정상적인 경제활동이 중단되는 피해가 발생하고 있다. 이런 경우 개인정보 유출 요건을 충족하지 않는다는 이유로 법적 보호 대상에서 제외돼 이용자는 명백한 피해를 입고도 구제받기 어려운 구조다.

개정안은 이러한 한계를 보완하기 위해 개인정보 유출 여부와 관계없이 더 넓은 범위의 침해사고를 정보통신망법상 보호 대상으로 포함했다. 침해사고로 인한 손해배상 청구 시, 사업자가 고의 또는 과실이 없음을 스스로 입증해야 책임을 면하도록 입증책임을 전환했다. 전문 지식이 부족한 이용자가 피해 원인과 기업의 과실을 입증해야 했던 부담을 완화하려는 취지다.

또한 사업자의 고의나 중대한 과실이 인정될 경우 손해액의 최대 3배까지 배상을 청구할 수 있도록 징벌적 손해배상 규정을 도입했다. 이용자 피해 보상 실효성을 높이는 동시에 기업의 보안 책임과 정보보호 투자 강화를 유도하려는 장치다.

아울러 침해사고 조사 비용 부담 주체도 조정했다. 과학기술정보통신부 장관은 민·관 합동조사 결과 기업의 귀책사유로 침해사고가 발생한 것으로 인정될 경우, 해당 사업자에게 조사단 운영에 소요된 비용 전액을 부담하게 할 수 있도록 했다. 사고 원인 제공자와 비용 부담 주체가 달랐던 구조를 바로잡기 위한 조치다.

이해민 의원은 “해킹 사고의 원인이 기업에 있다면 원인 규명이든 비용이든 기업이 책임지는 것이 상식”이라며 “이번 개정안은 전문 지식이 부족한 일반 이용자의 피해 구제 빈틈을 메우고, 사업자에게는 정보보호 투자를 확대하도록 경각심을 주는 계기가 될 것”이라고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network