SK텔레콤에 이어 YES24에서도 개인정보 유출 의혹이 제기됐다. YES24는 지난 9일 랜섬웨어 공격을 인지한 직후 “개인정보 유출은 없다”는 입장을 밝혔지만 개인정보보호위원회가 비정상적인 회원 정보 조회 정황을 포착하고 조사에 착수하면서 사안의 중대성이 드러났다.
이 사건은 단순한 해킹 사고에 그치지 않는다. 반복되는 개인정보 유출은 국내 주요 기업들이 개인정보 보호에 대한 실질적 책임과 제도적 대응 체계가 제대로 작동하고 있는지에 대한 근본적인 의문을 제기한다. 특히 SK텔레콤과 YES24는 모두 정부가 운영하는 ISMS(정보보호 관리체계) 또는 ISMS-P(개인정보보호 통합인증) 인증을 받은 상태였다.
ISMS-P는 기업이 일정한 관리적·기술적 보호 조치를 갖추고 있음을 심사·인증하는 제도다. 그러나 이 제도는 해킹 사고 발생 여부나 사고 이후 기업의 실질적 책임 이행 여부는 평가하지 않는다. 피해 구제 체계 및 재발 방지를 위한 실질적 조치와 인증 유효성은 무관하다. 결과적으로 요건만 충족하면 인증은 그대로 유지된다.
문제는 사고 이후 “우리는 정부 인증을 받은 시스템을 운영 중이었다”는 기업 측 면책 논리로 이 인증이 쉽게 악용된다는 점이다. 예방과 책임 강화를 위한 인증이 실제로는 사고 발생 시 ‘형식적 책임 이행’의 도구로 활용되는 셈이다. 인증 제도가 본래 의도와 다르게 기능하고 있는 것이다.
이처럼 사고 예방도 책임 강화도 담보하지 못하는 제도에 기대는 상황이라면, 국민 입장에서는 “국가 인증이 나를 보호하지 못한다.”는 생각에 이를 수밖에 없다. 제도는 존재하지만 실효성은 약하고, 사고 발생 후에도 기업이 책임을 회피할 수 있는 구조라는 점에서 문제는 더욱 심각하다.
해외는 다르다. 미국 연방법원은 이스라엘 NSO 그룹이 WhatsApp 사용자의 기기를 무단 침해한 사건에서 약 1억 6,700만 달러의 징벌적 손해배상을 명령했다. 미국 통신사 T-Mobile 역시 대규모 개인정보 유출 사고 후 수백만 달러 규모의 집단소송 합의금을 지급했다. 법과 제도가 기업의 책임을 실질적으로 묻는 구조인 것이다.
반면 한국은 여전히 솜방망이 처벌에 그치고 있다. 행정상 과징금과 시정명령, 형식적 감독이 전부이기 때문이다. 민사소송은 입증책임이 피해자에게 과도하게 쏠리고, 배상 수준도 현실과 괴리가 크다. 더 심각한 문제는 일부 언론과 대형 로펌이 “개인정보 유출에 대한 손해배상 청구는 실익이 없다”는 식의 논리를 퍼뜨리면서, 국민이 스스로 권리 행사를 포기하게 만드는 분위기마저 형성되고 있다는 점이다.
이러한 구조에 균열을 내기 위해 법무법인 대륜은 대기업을 상대로 한 개인정보 유출 집단소송을 진행하고 있다. 이러한 결정은 법률 시장의 수익 논리로만 본다면 결코 유리한 선택이 아니다. 그러나 대륜은 설립 이래 법률 서비스의 존재 이유를 ‘이윤’이 아닌 ‘국민 권리의 실질적 실현’에 두어왔다. 이번 집단소송 역시 그 연장선상에 있다.
대륜은 수도권 중심의 법률 시장을 지역 기반으로 분산하고, 전 국민이 양질의 법률 서비스를 받을 수 있도록 전국 단위의 분사무소를 설립했다. 미국·일본의 대형 로펌과 제휴를 맺고 선진 법률 시스템을 국내에 접목했으며, 고객 만족도 조사와 변호사 교체 및 환불까지 가능한 고객서비스 제도(AS 제도)를 도입했다. 이번 SK텔레콤 집단소송 역시 이 같은 구조적 실험이 현실에서 실현 가능함을 입증하기 위한 실천이다.
대한민국 국민의 개인정보가 미국이나 유럽 국민보다 덜 중요할 이유는 전혀 없다. 지금 필요한 것은 징벌적 손해배상 제도 도입, 집단소송제의 실효성 강화, 그리고 기업의 실질적 책임을 이끌어낼 수 있는 법적 기반 마련이다. 법원 역시 이제는 기업이 개인정보 보호를 ‘선택 사항’이 아니라 ‘경영의 본질’로 받아들이게 끔 명확한 기준과 강력한 메시지를 제시해야 한다.
이번 소송은 단지 한 기업의 법적 책임을 묻는 사건이 아니다. 개인정보가 기술적 관리 대상이 아닌 헌법상 기본권임을 법과 제도가 공식적으로 선언하는 출발점이 되어야 한다. 개인정보는 소중한 자산이다. 국민의 권리는 결코 헐값에 넘겨져서는 안 된다.
법무법인 대륜 박동일 대표변호사
SK텔레콤에 이어 YES24에서도 개인정보 유출 의혹이 제기됐다. YES24는 지난 9일 랜섬웨어 공격을 인지한 직후 “개인정보 유출은 없다”는 입장을 밝혔지만 개인정보보호위원회가 비정상적인 회원 정보 조회 정황을 포착하고 조사에 착수하면서 사안의 중대성이 드러났다.이 사건은 단순한 해킹 사고에 그치지 않는다. 반복되는 개인정보 유출은 국내 주요 기업들이 개인정보 보호에 대한 실질적 책임과 제도적 대응 체계가 제대로 작동하고 있는지에 대한 근본적인 의문을 제기한다. 특히 SK텔레콤과 YES24는 모두 정부가 운영하는 ISMS(정보보호 관리체계) 또는 ISMS-P(개인정보보호 통합인증) 인증을 받은 상태였다.ISMS-P는 기업이 일정한 관리적·기술적 보호 조치를 갖추고 있음을 심사·인증하는 제도다. 그러나 이 제도는 해킹 사고 발생 여부나 사고 이후 기업의 실질적 책임 이행 여부는 평가하지 않는다. 피해 구제 체계 및 재발 방지를 위한 실질적 조치와 인증 유효성은 무관하다. 결과적으로 요건만 충족하면 인증은 그대로 유지된다.문제는 사고 이후 “우리는 정부 인증을 받은 시스템을 운영 중이었다”는 기업 측 면책 논리로 이 인증이 쉽게 악용된다는 점이다. 예방과 책임 강화를 위한 인증이 실제로는 사고 발생 시 ‘형식적 책임 이행’의 도구로 활용되는 셈이다. 인증 제도가 본래 의도와 다르게 기능하고 있는 것이다.이처럼 사고 예방도 책임 강화도 담보하지 못하는 제도에 기대는 상황이라면, 국민 입장에서는 “국가 인증이 나를 보호하지 못한다.”는 생각에 이를 수밖에 없다. 제도는 존재하지만 실효성은 약하고, 사고 발생 후에도 기업이 책임을 회피할 수 있는 구조라는 점에서 문제는 더욱 심각하다.해외는 다르다. 미국 연방법원은 이스라엘 NSO 그룹이 WhatsApp 사용자의 기기를 무단 침해한 사건에서 약 1억 6,700만 달러의 징벌적 손해배상을 명령했다. 미국 통신사 T-Mobile 역시 대규모 개인정보 유출 사고 후 수백만 달러 규모의 집단소송 합의금을 지급했다. 법과 제도가 기업의 책임을 실질적으로 묻는 구조인 것이다.반면 한국은 여전히 솜방망이 처벌에 그치고 있다. 행정상 과징금과 시정명령, 형식적 감독이 전부이기 때문이다. 민사소송은 입증책임이 피해자에게 과도하게 쏠리고, 배상 수준도 현실과 괴리가 크다. 더 심각한 문제는 일부 언론과 대형 로펌이 “개인정보 유출에 대한 손해배상 청구는 실익이 없다”는 식의 논리를 퍼뜨리면서, 국민이 스스로 권리 행사를 포기하게 만드는 분위기마저 형성되고 있다는 점이다.이러한 구조에 균열을 내기 위해 법무법인 대륜은 대기업을 상대로 한 개인정보 유출 집단소송을 진행하고 있다. 이러한 결정은 법률 시장의 수익 논리로만 본다면 결코 유리한 선택이 아니다. 그러나 대륜은 설립 이래 법률 서비스의 존재 이유를 ‘이윤’이 아닌 ‘국민 권리의 실질적 실현’에 두어왔다. 이번 집단소송 역시 그 연장선상에 있다.대륜은 수도권 중심의 법률 시장을 지역 기반으로 분산하고, 전 국민이 양질의 법률 서비스를 받을 수 있도록 전국 단위의 분사무소를 설립했다. 미국·일본의 대형 로펌과 제휴를 맺고 선진 법률 시스템을 국내에 접목했으며, 고객 만족도 조사와 변호사 교체 및 환불까지 가능한 고객서비스 제도(AS 제도)를 도입했다. 이번 SK텔레콤 집단소송 역시 이 같은 구조적 실험이 현실에서 실현 가능함을 입증하기 위한 실천이다.대한민국 국민의 개인정보가 미국이나 유럽 국민보다 덜 중요할 이유는 전혀 없다. 지금 필요한 것은 징벌적 손해배상 제도 도입, 집단소송제의 실효성 강화, 그리고 기업의 실질적 책임을 이끌어낼 수 있는 법적 기반 마련이다. 법원 역시 이제는 기업이 개인정보 보호를 ‘선택 사항’이 아니라 ‘경영의 본질’로 받아들이게 끔 명확한 기준과 강력한 메시지를 제시해야 한다.이번 소송은 단지 한 기업의 법적 책임을 묻는 사건이 아니다. 개인정보가 기술적 관리 대상이 아닌 헌법상 기본권임을 법과 제도가 공식적으로 선언하는 출발점이 되어야 한다. 개인정보는 소중한 자산이다. 국민의 권리는 결코 헐값에 넘겨져서는 안 된다.법무법인 대륜 박동일 대표변호사