지난해 12월 26일 개인정보가 외부로 유출됐다며 2201명의 집단소송 원고들이 GS칼텍스, GS넥스테이션을 상대로 제기한 소송에서 대법원 원고 패소 판결이 최종 확정됐다. 이 사건은 기업의 개인정보보호 수준 향상을 위해 그리고 개인정보 주체의 권리 향상을 위해 집단소송이 과연 최선인가란 물음을 가지게 한 사례라 할 수 있다.
 
당시 이 사건은 GS칼텍스의 고객 개인정보를 외부로 팔아넘기려고 시도한 정씨 일당에 의해 발생했으며, 그들은 모 변호사 사무실에 “고객정보를 줄 테니 G사를 상대로 집단소송을 해 그 수익을 나눠달라”고 제의했다.
 
이들의 제안에 변호사 사무실 측은 언론에 먼저 터져야 여론이 조성되고 이를 통해 집단소송이 확대돼 많은 소송인단이 확보될 수 있다고 부추겼다. 정씨 일당은 결국 변호사 측의 말을 듣고 허위 제보를 하면서 사건이 일파만파 확대됐고 결국 그들은 검거되고 말았다. 더불어 법원은 정보가 유출됐다며 집단소송을 제기한 원고측의 손해배상 청구를 최종 기각하기에 이르렀다.
 
◇순수함 잃은 집단소송, 누구를 위한 소송인가
이 사건만 보더라도 개인정보 유출 집단소송이 순수한 목적의식을 잃어 가고 있으며 궁극적으로 우리 사회가 추구하는 기업의 개인정보보호 수준 향상과 정보주체의 권익 보호에도 전혀 도움이 되지 않고 있는 것이 지금의 현실이다.
 
모 변호사는 “일부 변호사 사무실에서 개인정보 유출 관련 집단소송을 활용해 광고효과를 노리고 있다”며 “공익을 위한 무료 소송이라는 취지는 좋지만 그 이면에는 결국 언론의 주목을 받으며 간접 광고효과를 기대하는 심리도 작용하고 있어 마냥 순수한 의도라고 보기에는 무리가 있다”고 말했다.
 
개인정보?저작권 관련 집단소송이 법조계의 21세기 최대 수익모델이라는 웃지못할 비판들도 이런 이유에서 기인한 것이다.
 
이렇게 일부 집단소송 변호사들이 비판을 받고 있는 이유는 집단소송 원고들의 순수함에 그들의 전문성이 따라가지 못하고 있다는 점이다. 더욱이 그 순수함을 이용해 승소가능성이 희박함을 알면서도 소송인단을 모집해 집단소송을 시도하고 있다는 점이다.
 
모 기업 정보유출 건으로 집단소송에 참여한 김 모씨는 “집단소송에 참여한 이유는 소송의 승리목적 보다는 이런 이슈화를 통해 기업들의 개인정보보호 개선 의지가 커지길 바란다”며 “승소하기에는 무리가 있다는 것을 안다. 구체적인 피해 사례를 입증하기가 어려울 것이다. 하지만 이런 과정에서 기업들의 정보보호 노력들이 향상되리라 희망한다”고 밝혔다.
 
◇집단소송 변호사 전문성 부재
법원은 일련의 개인정보 유출 사건 판결에서 개인정보 유출로 인한 명확한 피해사실 인과관계가 입증되지 않는다면 유출된 사실만으로 원고측의 정신적 손해에 대한 위자료 지급 판결을 하기 어렵다는 입장을 명확히 하고 있다.
 
옥션 정보유출 판결에서도 그와 같은 이유로 원고측 주장이 기각됐고 올해 8월 네이트와 싸이월드를 상대로 낸 정신적 손해배상 판결에서도 원고 패소판결이 나왔다. 이유는 원고들이 제출한 자료만 가지고는 SK컴즈가 정통망법에서 규정하는 주의 의무를 위반했다고 보기 어렵다는 것이다.
 
즉 집단소송 변호사들은 유출된 정보와 피해사실 간 인과관계 입증을 위한 전문적 지식이 부족해 이를 입증할 만한 자료를 법원에 제출하지 못하는 상황이 계속되고 있다.
 
한편 지난 2월 서울서부지법 판결에서는 “개인정보 유출 과정에서 SK컴즈 탐지 시스템이 전혀 감지하지 못했고, 기업형 알집보다 보안이 취약한 공개용 알집을 사용해 해킹이 더 쉽게 이뤄졌으며 담당 직원이 새벽까지 컴퓨터를 켜둬 해커가 서버에 쉽게 접근하도록 했다"면서 원고들에게 각각 위자료 20만원을 지급하라고 판결한 바 있다.
 
하지만 해당 판결은 법조계에서 인정하지 않는 분위기이며 상급심 판결에서는 받아들여지지 않을 것이란 의견이 대부분이다. 기존 법 적용을 확대해석한 판결로 법조인들은 보고 있다.
 
이에 대한 자세한 내용은 데일리시큐 “SK컴즈 해킹 원고승소 판결, 상급심에서는...글쎄?”란 제하의 기사를 통해 상세히 다룬바 있다.
(관련 기사: dailysecu.com/news_view.php?article_id=3847)
 
국내에서 발생한 대규모 개인정보 유출 소송에 대부분 참여했던 테크엔로 구태언 변호사는 “소송을 위임받아 수행한 변호사의 전문성 부재가 피고의 과실을 밝혀 법원을 설득하는데 실패하고 있다”며 “소송 관련 증거가 피고회사가 가지고 있는데 이를 확보하려고 시도할 때 증거개시제도가 한국 민사소송법에 마련돼 있지 않고 이와 유사한 문서제출명령이나 문서 목록제출 명령을 법인 활용하는데 소극적이라서 실체적 진실을 밝힐 증거확보에 실패하고 있다”고 설명했다.
 
즉 상당수 집단소송 변호사들이 원고인단의 순수함에 부합하는 전문성을 갖추고 있지 못한 경우가 많다는 것이다. 그래서 집단소송이 변호사들 배만 불린다는 비판이 나오고 있으며 실제 소송 결과만 보더라도 이런 비판을 면하기 힘든 상황이다.
 
◇집단소송의 소모적 비용을 실질적 보안강화 비용으로 전환해야
집단소송은 원고측에 피해를 줄 뿐만 아니라 피고 기업에도 상당한 피해를 주고 있다. 이 피해가 결과적으로 한국 사회 전체의 정보보호 수준을 높인다면 감수해야 하겠지만 그렇지 못하다는 의견이 크다. 차라리 보안위험을 더욱 증가시킬 수 있다는 것이다.
 
구태언 변호사는 “집단 소송을 통해 거액의 손해배상 소송이 인정된다면 해당 기업에게 금전적으로 심각한 타격을 입히게 된다. 기업의 생존이 위협을 받게 될 정도다”라며 “물론 해당 기업뿐 아니라 다른 기업들에게도 상당한 수준의 경각심을 고취시킬 수는 있지만, 만약 피고기업이 패소할 경우에 기업의 생존이 위협 받게 되는 것을 다른 기업들이 보게 된다. 그러면 해킹 발생 당시에 기업들이 해킹 피해 사실을 차라리 숨기고 신고하지 않을 가능성이 높아져 오히려 2차 피해로 이어지는 피해확산을 방지할 기회를 상실하게 만드는 부작용을 초래할 수 있다”고 강조했다.
 
법이 정한 일정 수준의 보안 수준을 유지하고 있는 기업이 외부 해커의 침입으로 정보가 유출된 사실을 밝혔다. 하지만 그 죄를 물어 집단소송에서 패소해 천문학적 손해배상을 물어주고 휘청거리는 모습을 보고 어떤 기업이 스스로 정보유출 사실을 밝히고 그 과정을 감당하려고 마음먹을까. 차라리 끝까지 숨기려는 심리가 더 크게 작용할 수 있어 2차 피해를 예방할 수 있는 기회마저 상실할 수 있다는 우려의 말일 것이다.
 
구 변호사는 또한 “각종 개인정보보호법령의 엄격한 보안조치들이 개인정보보호를 충분하게 할 수 있는 것들이 아님에도 이들 규정을 잘 지켰느냐에 따라 손해배상의 승소여부가 달라지기 때문에 기업들의 보안투자가 법규에 규정된 보안조치를 우선하게 되어 자원의 효율적 배분이 저해받는 측면이 강하다”고 말했다.
 
다시말해 정통망법이나 개인정보보호법에서 규정하는 안전조치를 다했다고 해서 해킹을 당하지 않는다고 보장할 수 없는 것이 현실이다. 공격은 항상 보안을 앞서가고 있기 때문이다. 그럼에도 불구하고 기업들은 자신들의 상황에 맞는 보안을 하는 것이 아니라 법에서 규정하는 시스템을 따라야 처벌을 면할 수 있고 소송에서 승소할 수 있다. 이런 점에서 실질적 보안이 아닌 규정만 지키려는 보안으로 효율성이 떨어진다는 것이다.
 
사회적 소모비용으로 전락한 집단소송은 우리가 궁극적으로 목표하는 기업의 정보보호 수준 향상과 정보주체 권익 보호를 위한 답이 아니란 것을 알 수 있다.
 
서울고등법원 모 부장판사는 “개인정보 유출 손해배상 관련 잦은 소송들이 기업활동을 위축시키고 보안 수준을 향상시키는데 도움이 되지 않는다”며 “집단소송이 개인정보보호라는 본래 취지와는 달리 변호사들 수입과 연결돼 있고 소송에 투입되는 인력이나 비용이 과도하게 늘어나고 있어 개인정보보호 수준 향상을 위한 다른 대안이 필요하다”고 말했다.
 
◇집단소송은 답이 아니다...그 대안은
구태언 변호사는 “집단소송으로는 우리가 바라는 궁극적 목적을 달성할 수 없다. 기업이 고의로 개인정보를 침해했다면 당연히 그로인한 손해를 배상해야 한다”며 “하지만 기업이 과실로 또는 제3자의 범행에 의해 개인정보를 침해당했다면 그로 인한 손해 중에 위자료까지 인정하는 것은 위험의 분산원칙에 맞지 않는다”고 강조했다.
 
또한 “손해배상 등으로 인한 제재만로 기업을 움직이려고 하는 것은 한계가 있다. 개인정보보호 법규를 잘 지켰을 경우에 해당 기업에게 책임면제, 동의원칙 완화로 마케팅 활성화 등 인센티브를 주는 정책으로 전환활 필요가 있다”며 “아울러 안전행정부가 민간기업의 개인정보보호법 위반에 대해 개선권고를 내리고 이에 불응할 경우에 시정조치 명령을 내릴 권한을 법 개정을 통해 부여함으로써 안정행정부의 개인정보보호에 관한 권한을 적극적인 행정지도권한으로 확대할 필요가 있다”고 덧붙였다.
 
모 기업 보안담당자는 “집단소송 대응 비용으로 로펌에 수십억을 지출하고 있는 현실이 안타깝다. 그 비용을 보안강화 비용으로 돌리면 기업 정보보호 수준도 향상되고 이용자들이 바라는 보안도 더욱 강화될 것”이라며 “원고측이 승소하든 기업이 패소하든 집단소송의 어떤 결과든 모두가 희생양일 뿐이다. 그 사회적 비용을 실질적 보안에 투자하도록 사회적 시스템을 강화해 나가는 것이 옳지 않을까”라며 안타까워했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com