[쿠키뉴스] 구현화 기자 = 페이스북에서 전 세계 5억3300여명의 개인정보가 유출돼 해커 사이트에 올려진 것으로 알려졌습니다. 이름과 거주지, 생년월일, 전화번호 등 민감정보가 유출됐죠. 페이스북 CEO 마크 저커버그의 페이스북에 게재된 주소나 결혼여부 등도 유출돼 더 황당한 사건입니다. 이중 국내 이용자는 12만여명의 개인정보가 유출됐습니다.

그런데 페이스북 측의 태도가 좀 이상합니다. 페이스북은 유출 피해와 관련해 "2019년 유출된 오래된 데이터"라며 "그해 8월 관련 문제를 인지하고 바로잡았다"라고 밝혔습니다. 이와 함께 개인정보 유출에 대한 알림이나 주의사항도 내놓지 않았죠. 지난 2019년 해커들이 소셜미디어 서비스에서 이용자 프로필 데이터를 스크래핑한 것으로 이미 끝난 사안이라는 겁니다.

원래 개인정보보호법에 따르면 페이스북은 개인정보의 유출 사실을 알게된 후 지체 없이 유출된 개인정보, 발생 시점, 이용자가 취할 수 있는 조치 등을 알려야 합니다. 피해 사실을 개인정보보호위원회 등 전문기관에도 신고해야 합니다. 이전에 유출된 적이 있던 개인정보라도 2차, 3차 피해를 우려해 다시 한번 이용자에게 알리고 주의를 당부할 필요가 있지 않느냐는 이야기가 나옵니다.  

개인정보보호위원회는 개인정보 유출과 관련 사실관계를 파악하고 2년 전 당시 페이스북이 어떻게 개인정보 유출 관련한 조치를 취했는지 확인해야 한다는 입장입니다. 

이미 페이스북은 개인정보 유출 혐의로 개인정보보호위원회로부터 징계를 받은 적이 있습니다. 개인정보위는 페이스북 친구 정보가 불법 활용된다는 제보로 조사한 결과 페이스북이 당사자 동의를 받지 않고 본인과 친구 정보를 다른 사업자에게 넘긴 사실을 확인했습니다. 

위반기간은 2012년 5월부터 2018년 6월까지 약 6년입니다. 개인정보위에 따르면 페이스북 이용자 1800만명 중 최소 330만명 이상의 개인정보가 제공된 것으로 확인됐습니다. 국내 페이스북 이용자 1800만명 중 최소 330만명 이상의 개인정보가 동의 없이 제3의 업체에 제공된 겁니다. 개인정보에는 페이스북 친구의 학력과 경력, 가족 및 결혼/연애상태, 관심사 등이 포함됐습니다. 
 
그런데 이 과정에서 페이스북의 잘못들이 더 드러났습니다. 이용자의 비밀번호를 암호화하지 않고 저장하고, 주기적으로 이용자에게 개인정보 이용내역을 통지하지 않은 겁니다. 또 이용자 수만 제출하고 친구 수를 제출하지 않으면서 잘못된 정보를 제공한 죄까지 추가됐습니다. 이에 대해 6600만원의 과태료와 함께 67억원의 과징금 및 시정조치를 명령하고 수사기관에 고발됐죠. 

국내기업과 비교하면 더 황당합니다. 이용자 비밀번호를 암호화하는 건 보통 웬만한 대기업이면 다 하고 있는 조치지요. 또 네이버나 야놀자, CJ 등 대부분의 국내기업들은 개인정보 이용내역을 매년마다 통지하도록 되어 있습니다. 

그렇다면 페이스북의 내 개인정보가 넘어갔는지를 어떻게 알 수 있을까요? 해브 아이 빈 폰드(have i been pwned)웹사이트에 내 메일주소를 치면 메일정보가 도용됐는지를 알 수 있다고 합니다. 이번에 도용당한 페이스북 정보를 업데이트했다고 하니까요. 다만 이 웹사이트의 창립자인 트로이 헌트에 따르면 이메일 주소 침해는 극히 일부에 해당하기 때문에 완벽하지 않은 방법이라고 하네요.

손해배상에 참여하고 싶은 이들을 위해 손해배상 소송도 진행 중입니다. 법무법인 지향은 페이스북의 개인정보 유출과 관련한 손해배상 청구소송을 진행하고 있습니다. 대상은 2018년 6월 이전에 페이스북에 가입한 사람입니다. 페이스북과 연동되는 제3자 앱을 이용하거나 제3자 앱을 이용한 사람과 친구관계를 맺은 사람도 포함됩니다.

과연 이런 집단 손해배상 청구소송은 승소할 수 있을까요? 개인정보 유출과 관련한 이전의 판례들을 찾아보았습니다. 

지난 2011년 중국 해커들이 SK커뮤니케이션즈가 운영한 네이트와 싸이월드 회원 3490만여명의 개인정보를 유출한 건이 있었습니다. 이름과 주민등록번호를 비롯해 주소와 전화번호까지 유출됐죠. 이에 대해 49명이 1인당 30만원씩 집단소송을 청구했습니다. 

이에 대해 대법원은 SK컴즈 편을 들어줬습니다. SK컴즈가 취한 기술적 보호조치 수준과 해킹 수법, 해킹 방지기술의 한계 등을 고려했을 때 개인정보 안전성 확보에 대한 조치를 하지 않았다고 봤죠. 즉 초점은 회사가 해킹 보호 조치를 취했는지에 맞춰 있는 겁니다. 

한편 이와 달리 지난해 말 인터파크 회원 2400여명이 인터파크 개인정보 유출로 낸 손해배상 소송에서는 인터파크 이용자들이 승소했습니다. 인터파크는 2016년 5월 사내PC를 통해 전산망 해킹을 당하면서 1000만명 이상의 고객정보를 유출했죠.

대법원은 회사 측이 개인정보 유출을 인지했음에도 그로부터 14일 후에야 이를 통지해 고객들이 개인정보 유출에 신속히 대응할 기회를 잃게 했다고 지적했습니다. 다만 개인정보 유출에 따른 추가 피해 자료가 없기 때문에 청구액 30만원은 인정하지 않고 10만원의 배상액을 하라는 판결을 냈습니다. 

이 두 건의 판결을 살펴보면, 개인정보보호법상 개인정보 유출과 관련 가장 큰 이슈는 회사의 재빠른 피해자 보호 조치와 해킹 방지 시스템 구축 등에 있습니다. 회사가 개인정보 송수신 시 암호화를 제대로 하고, 개인정보 보호를 위한 통제시스템을 갖추고 있었다면 설사 막지 못한 해킹이 발생했더라도 의무를 다했다고 보는 거지요. 

이와 관련하여 볼 때 페이스북의 개인정보 유출 사건은 많은 부분에서 아쉬움이 보입니다. 개인정보 보호 시스템을 제대로 갖추었는지, 그리고 제때 이용자에게 알렸는지를 들여다 보아야겠죠. 

개인정보 유출에 대한 손해배상 소송은 점차 많아지고 있는 추세입니다. 최근 이루다의 개인정보 유출 피해자 254명이 개발사에 2억원대 손해배상을 냈습니다. 법무법인 태림은 지난달 31일 스캐터랩을 상대로 손해배상 청구소송을 진행했습니다. 원고1인당 손해배상액은 80만원입니다. 

원고 측은 스캐터랩이 연애 분석 앱인 '연애의과학'에서 이용자들이 주고받은 카카오톡 메신저 대화 내용을 바탕으로 이루다를 개발했지만, 이에 대해 이용자들에게 동의를 받지 않고 무단 이용한 데다 이용자 대화내역의 민감정보를 동의 없이 보관했다고 주장하고 있습니다.

개인정보 유출은 2차, 3차 피해까지 이어지는 만큼 그 중요성이 더욱 부각되고 있습니다. 게다가 최근에는 딥러닝을 하는 인공지능의 데이터셋으로 개인정보가 포함되는지 여부에 관심이 쏠리고 있습니다. 앞으로 개인정보 유출을 방지하는 데 있어 개인정보위원회의 역할이 더욱 커지기를 기대합니다. 

kuh@kukinews.com 기사모아보기