"해킹 피해 최대 3배 배상"…망법도 징벌적 손배 입법 논의

(서울=뉴스1) 이민주 기자 = 지난해 대규모 해킹 사고가 잇따라 발생한 가운데 기업의 정보보호 의무와 손해배상 책임을 강화하는 입법 논의가 본격화하고 있다.

21일 국화 과학기술정보방송통신위원회는 법안심사 소위원회를 열고 정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안을 심사한다.

법안은 이해민, 서왕진 조국혁신당 의원과 정진욱, 한민수 더불어민주당 의원 등이 공동 발의했다. 지난해 통신3사와 쿠팡 및 플랫폼 기업, 공공기관 등에서 발생한 대규모 개인정보 유출 및 해킹 사고에 대응하기 위해 마련됐다.

업계에 따르면 현재 침해사고는 피해자가 사업자의 귀책 사유와 손해 발생 간 인과관계를 직접 입증해야 해 전문적 지식이 부족한 일반 사용자의 실질적인 피해구제가 어렵다.

이 때문에 중대한 침해사고 발생 시 과학기술정보통신부 장관이 민·관합동조사단을 구성하도록 하고 있으나 조사단 운영비용 전액을 국가가 부담하는 구조로 돼 있다.

또 손해배상액도 실질 손해 범위로 한정돼 있어 사업자의 정보보호 의무를 충분히 담보하기 어렵다. 현행 개인정보보호법에서는 개인정보 유출 사고에 한해 입증책임 전환과 최대 5배의 징벌적 손해배상을 도입하고 있다.

이에 법안은 사업자에 입증책임을 부과해 이용자 보호를 강화하는 내용을 담았다. 사고 발생 시 정보통신서비스 제공자는 스스로 자신에게 고의 또는 과실이 없음을 입증해야 한다.

침해사고가 발생해 이용자가 손해를 입은 경우 법 위반 정보통신서비스 제공자에게 손해배상을 청구할 수 있다.

고의 또는 중대한 과실이 인정될 경우 손해액의 최대 3배까지 배상하도록 하는 징벌적 손해배상 제도를 도입하는 내용도 담았다. 법원이 그 손해액의 3배를 초과하지 않는 범위에서 손해배상액을 정할 수 있도록 한다.

징벌적 손해배상액을 부과할 때 고려할 사항으로는 피해 규모, 사고의 기간·횟수, 사고와 관련한 과징금 액수 등을 명시했다. 단 정보통신서비스 제공자(기업)가 고의나 중대한 과실이 없음을 입증한 경우에는 징벌적 배상액을 청구할 수 없다.

아울러 사고 조사 결과 사업자에게 귀책 사유가 인정되는 경우에는 사업자가 조사단(민·관합동조사단) 운영 비용 전액을 부담하게 한다.

이해민 의원은 "해킹사고의 원인이 기업에 있다면 원인 규명이나 비용을 기업이 책임지는 것이 상식"이라며 "전문 지식이 부족한 일반 이용자의 피해 구제 빈틈을 메우는 법으로 사업자에게는 경각심을 주어 정보보호 투자를 확대하도록 유도하는 계기가 될 것"이라고 말했다.

정보보호 업계 관계자는 "법안이 기업의 보안 관리 수준을 높이는 계기가 될 수 있다"며 "이용자 보호 측면에서는 의미 있는 변화일 수 있다"고 말했다.

일각에서는 법안이 기업의 부담을 과도하게 키울 수 있다는 우려도 나온다. 업계 관계자는 "이용자 보호 취지라는 측면은 좋지만 기업의 법적 리스크가 크게 증가할 수 있다"며 "해킹 사고는 원인 규명이 쉽지 않은 부분이 있어 책임 범위를 어디까지로 볼 것인지 등이 중요해질 것"이라고 설명했다.

minju@news1.kr