토스의 개인정보 유출 선제적 피해보상, 나비효과 되나

Posted by

개인정보 유출사고와 소비자 피해구제      

고객의 개인정보가 유출되었다. 기업에서 관리하고 있는 소비자들의 정보를 비롯한 각종 사업상 데이터가 외부의 공격에 의해 유출되는 사고가 발생한 것이다. 이 사실을 최초 인지한 기업이 취해야 할 조치는 원인 파악, 진상 규명, 피해 규모 확인 등 다양하겠지만 절대 빼놓지 않아야 하는 절차가 있다. 해당 사실을 주어진 시간 내에 관계 당국에 알리고, 당국과의 협조 아래 실상을 파악하는 동시에 이 사실을 또 다른 피해 당사자인 고객에게 알리는 것이다.      

어찌 보면 당연한 이 절차가 법적으로 규제된 것은 개인정보 보호법이 도입된 이후부터다. 2011년 9월 30일 시행된 개인정보 보호법에는 개인정보 유출 시 통지, 신고제도를 규정하고 있다. 기업의 위기관리 측면에서 보면 피해 사실에 대해 충분히 파악하기도 전에 외부로 관련 사실이 알려지는 것이 반가울 리 없다. 그러나 개인정보 유출에 따른 소비자들의 피해를 구제하는 일이 절대 가벼이 여겨져서는 안 된다는 점이 법제도를 통해 반영된 것이다.      

최근 서울대 병원 환자 및 직원 등의 개인정보 유출 사건(2021.07), 맥도널드 고객 및 직원 정보 해킹 사건(2021.06), 천재교육 ‘밀크 T’ 학생을 포함한 고객 개인정보 유출 사건(2021.04) 및 제주항공 탑승객 결제정보 유출 사건(2021.03) 등에서 기업은 모두 이와 같은 절차를 따랐다. 시간 내에 관계기관에 신고하고 소비자에게 해당 사실을 고지한 것이다. 여기서 더 나아가 소비자가 직접 유출 여부를 조회할 수 있는 시스템을 구축하는 등 고객의 불안감을 해소하기 위한 조치를 취하는 모습을 보였다.

그러나 여전히 절차를 지키지 않아 과징금 및 과태료를 받는 사례도 발생했다. 마이크로소프트는 전 세계 11만 9000여 개의 고객 이메일 계정이 유출되는 사고가 발생했는데, 고지의무 위반을 이유로 개인정보보호위원회로부터 과징금 340만 원, 과태료 1300만 원을 부과받았다. 유출된 이메일 중 대한민국 이용자 이메일이 144개 있었음에도 불구, 한국어로 별도 고지를 하지 않은 것이다. 국내 기업 중에서는 카카오그룹 계열사인 ㈜그라운드원이 개인정보 유출 발생 후 25일이 지나서야 신고 및 통지하여 과징금 2500만 원, 과태료 600만 원을 선고받기도 하였다.

 

출처 : 토스 홈페이지

토스의 파격적 대응업계의 주목을 받다     

그런데 최근, 금융 플랫폼 서비스인 토스가 개인정보 유출 사건과 관련해 고객에게 선제적으로 금전적 보상을 하는 파격적 행보를 보여 화제다. 지난 7월 21일, 토스의 운영사인 비바퍼블리카는 자사의 고객 채팅 상담업무를 위탁 운영하고 있는 엠비아이솔루션으로부터 채팅 상담창을 통한 개인정보 유출 사실을 통보받았다. 엠비아이솔루션은 온라인 채팅 상담 서비스인 ‘해피톡’의 운영사로, 국내 2만여 고객사의 채팅 상담 서비스를 위탁 운영하고 있다. 이번 사고는 엠비아이솔루션 서버 해킹으로 인해 채팅 상담 내용 총 8만 7272건이 유출된 것으로, 이름, 전화번호 등 개인정보가 포함된 상담이 1만 2811건 포함되었다. 이 중 토스 고객 1500여 명의 개인정보가 유출된 것으로 파악되었고, 이에 토스는 피해자 한 명당 10만 원가량의 보상금을 지급하겠다는 방침을 밝혔다.      

토스의 대응이 화제가 되었던 이유는 크게 두 가지 측면이다. 첫 번째로 대응 속도가 매우 빨랐다는 점이다. 이번 유출사고에 피해를 입은 고객사는 토스 외에도 배달의 민족, 쿠팡 등 거대 플랫폼 기업을 포함해 700여 업체인 것으로 밝혀졌다. 그런데 토스 측이 엠비아이솔루션으로부터 통지를 받은 즉시 전 피해자에게 대대적으로 알림으로써 개인정보가 단독 유출되었다는 오해를 사기도 했다. 그만큼 피해사들 가운데서도 적극적이고 발 빠른 대응을 했다는 것이다.     

두 번째로, 사건 발생 즉시 구체적인 피해자 구제 방안을 제시하고, 이를 실행했다는 점이다. 토스는 사건 발생 당일 즉시 소비자들에게 “금전적 보상”을 약속했다. 10만 원의 피해 보상금을 일괄 지급한다는 것. 실제 토스는 사건 발생 바로 다음날 피해 고객들을 대상으로 10만 원의 보상금을 지급하는 것은 물론, 일부 고객에 대해서는 20만 원의 보상금을 지급했다. 이와 같은 선제적 보상금 지급은 업계에서도 매우 이례적인 대응으로, 언론사뿐 아니라 각종 커뮤니티에서도 해당 사실이 회자되며 매우 이슈가 되었다.

    

손해배상 청구,길고 긴 여정      

즉각적인 금전적 보상이 이슈가 된 것은 현행 개인정보보호법상 이것이 의무사항이 아니기 때문이다. 개인정보 보호법상 소비자의 피해 구제방안은 매우 명확한 조건을 전제로 하고 있다.  정보주체는 손해배상 청구를 통해서 보상을 받을 수 있는데, 정보통신서비스 제공자의 고의 또는 과실로 인한 법 위반과 개인정보 유출 사이의 인과관계가 인정되는 경우에 한해서다. 특히, 인과관계가 있다 하더라도 고객들에게 실질적, 정신적 손해가 발생했다는 것을 입증해야만 서비스 제공자에게 손해배상책임을 물을 수 있다.      

손해배상 청구를 통해 소비자가 피해를 구제받은 사례로 인터파크 정보유출 사례가 있다.  2016년 7월, 인터파크가 해커로부터 공격을 받아 2,500건의 고객 개인정보가 유출되는 사건이 발생했다. 방송통신위원회는 이 사건의 책임을 물어 인터파크에 44억 8,000만 원의 과징금 및 2,500만 원이라는 역대급 과태료를 부과했다. 그리고 그 해 10월, 2400명의 피해 소비자가 인터파크를 대상으로 손해배상 청구 소송을 제기하였는데, 2020년 7월에 드디어 소송이 마무리 되면서 법원은 인터파크가 소송 청구자에게 10만 원씩 배상할것을 명령했다. 유출 사건이 발생한 지 4년 만이다.      

즉, 인터파크 사례에서 소비자가 정보유출 피해에 대해 각 10만원의 금전적 손해 배상을 받기까지 직접 제기한 소송에서 승소하는 4년의 시간이 필요했다는 점을 감안하면, 토스의 대응이 업계의 주목을 받는 것은 당연해 보인다. 토스는 물론 자사의 서비스를 위탁 운영하는 엠비아이솔루션의 데이터 처리 과정에 대한 관리 감독의 의무가 있기는 하지만, 자사의 보안 허점으로 인해 발생한 사고가 아님에도 매우 즉각적이고 금전적인, 전례없는 파격적인 대응을 보여준 것이다.

    

선제적 금전적 보상 선례나비효과 되나      

토스의 이와 같은 움직임이 앞으로 개인정보 유출 사건에 미칠 파장은 적지 않아 보인다. 일례로, 토스의 배상 사건이 있은 후 지난 8월 9일, 샤넬코리아의 회원 개인정보가 해커의 공격에 의해 유출된 사건이 발생했다. 사건 발생 직후 샤넬코리아는 관계기관에 신고 및 통보, 원인 파악 및 보완조치를 완료하는 등 법적 최소한의 절차를 이행했음에도 불구하고, 이에 대한 비판 여론이 사그라들지 않았다. 비판의 요지는 샤넬코리아가 피해사실에 대해 적극적으로 소비자에게 알리지 않았고, 피해 보상안을 언급하지 않았다는 것이다.

이러한 비판은 기존에 개인정보 유출 사건 발생 시 과징금, 과태료 등 행정처분이 부과되는 것 외에 소비자에 대한 보상이 구체적으로 이루어지지 않았던 관례에 대한 소비자들의 불만이 터져 나온데서 기인한 것으로 보인다. 실제 샤넬의 미비한 대응을 비판하는 언론 기사에서는 토스의 보상사례가 비교 사례로 언급되기도 하였다(관련기사). 토스 사건을 계기로 기업에게 정보주체의 권리에 대한 더 높은 수준의 경각심을 요구하는 사회적 분위기가 형성되고 있는 것이다.

개인정보를 수집 및 관리하는 주체에게 정보 유출사고란 내부적으로도 매우 큰 리스크 관리를 요하는 악재다. 그러나 정보주체의 권리와 데이터 주권에 대한 사회적 인식 수준이 더욱 높아지고 있음을 인지한다면, 유출사고에 대한 외부적인 사후 대응 또한 더욱 적극적으로 하는 방향을 검토해야 할 때다.

One comment

댓글 남기기