개인정보의 우연한 누출로 인해 발생하는 손해배상금, 방어비용 보상
매출액 5000만원 이상 또는 이용자수 일평균 1000명 이상 기업 의무가입 대상
미가입 시 2000만원 이하의 과태료 부과…올해 말까지는 계도기간

사진=연합뉴스

최근의 개인정보 유출 사고는 원인 및 경로가 다양화되고 있다. 이는 정보통신 발달로 인한 빅데이터·사물인터넷(IoT)·인공지능 등 4차 산업혁명 시대의 신기술 확산과 맞물려 있는데 이 같은 산업의 대부분은 개인정보를 기반으로 하고 있어 개인정보의 중요성은 날로 증가하고 있다.

정보 주체자인 이용자 또한 개인정보에 대한 인식 개선으로 유출 사고 시 적극적인 권리 주장을 하고 있지만 유출 기업의 배상능력이 부족한 경우 이용자가 손해배상을 청구하더라도 피해구제가 어려워 실효성 있는 피해구제 제도 마련이 필요하다는 지적이 꾸준히 제기됐었다.

이에 정부도 이용자 피해구제 제도의 실효성을 제고하고자 지난 6월 13일 ‘정보통신망법’ 개정안을 시행하고 개인정보보호배상책임보험 가입을 의무화했다.

개인정보보호배상책임보험은 회사가 소유·사용·관리하는 개인정보의 유출에 기인하는 회사의 법률상 손해배상책임을 보상하는 보험으로 내부직원의 범죄나 실수를 비롯해 해킹 등 부정 액세스, 바이러스, 업무 위탁처로부터의 유출 등 다양한 경로로 발생하는 개인정보 유출에 대비해 기업의 각종 비용을 보상하는 보험이다.

개정안은 기업으로 하여금 손해배상책임의 이행을 보장하도록 보험 또는 공제 가입을 의무화한 것을 골자로 보험 가입 대상자의 범위 및 기준 등을 함께 마련했다.

적용대상이 되는 기업의 기준을 살펴보면 직전 사업연도의 매출액이 5000만원 이상이고 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 하루 평균 이용자 수가 1000명 이상인 정보통신서비스 제공자다.

정보통신서비스 제공자란 업종에 관계없이 인터넷·모바일상에 영리를 목적으로 웹사이트·앱·블로그 등을 운영하며 이용자 정보를 보유한 사업자 등이 해당된다.

면제 대상은 이용자 수가 일평균 1000명 미만, 매출액이 5000만원 미만인 경우이며 이용자 개인정보의 양이 적고 신생기업 등과 같이 매출액이 거의 없거나 미미한 기업인 경우 대상에서 제외되는데 사고 발생 시 피해 및 배상액 규모 등이 상대적으로 크지 않고 사실상 금전적으로 규제 준수가 어려운 점을 고려했다.

최저가입금액기준. 자료=방송통신위원회

또 손해배상책임 이행을 위한 최저가입금액 기준은 사업자별 이용자 수와 매출액에 따라 차등해 최저 5000만원에서 최고 10억원으로 설정했다. 이용자 수가 1000명 이상~10만명 미만이고 매출액이 800억원을 초과하는 기업의 최저가입금액은 2억원, 10만명 이상~100만명 미만이고 매출액이 800억원을 초과하는 기업의 최저가입금액은 5억원, 100만명 이상이고 매출액이 800억원을 초과하는 기업의 최저가입금액은 10억원이다.

그럼에도 불구하고 만약 보험가입 등 손해배상책임 이행을 위해 필요한 조치를 하지 않았을 경우에는 2000만원 이하의 과태료가 부과되며 다만 올해 말까지 계도기간을 운영해 과태료 부과를 유예하기로 했다.

개인정보보호배상책임보험의 기본담보를 살펴보면 대한민국 내에서 가입자의 업무수행 과정이나 목적으로 소유, 사용, 관리하는 개인정보의 우연한 유출·분실·도난·위조·변조 또는 훼손으로 인해 가입자가 개인정보 주체(이용자)에게 법률상 손해배상책임을 부담함으로써 입은 손해를 보험가입금액을 한도로 보상한다.

특약으로는 위기관리컨설팅비용, 위기관리실행비용 등이 있다.

위기관리컨설팅비용은 사고 발생 초기에 위기의 영향을 최소화하고 회사의 명성 및 브랜드가치 하락, 주가 하락 및 집단소송 등을 사전에 예방하기 위해 피보험자가 부담하는 컨설팅비용을 보험가입금액을 한도로 보상한다.

위기관리실행비용은 개인정보 유출의 발견 시 위기(사고)관리를 목적으로 하는 변호사 상담비용, 위기(사고)의 원인 조사비용, 전화회선의 증설, 통화료 또는 콜센터 위탁비용, 사과문 작성 및 송부비용, 사죄회견 및 사죄광고 비용, 위로금, 위문품 비용 등을 보험가입금액을 한도로 보상한다.

보상하지 않는 손해를 살펴보면 가입자나 가입자의 임원 또는 임원이었던 사람의 고의 또는 범죄행위, 가입자의 직원이나 직원이었던 사람의 고의 또는 범죄행위로 인해 해당 직원이나 직원이었던 사람을 상대로 제기된 손해배상청구, 신체장애 및 재물의 멸실·훼손·오손·분실 또 는 도난, 보험개시일 이전에 발견된 개인정보유출로 인한 사고 및 손해는 보상에서 제외된다.

한편 기업이 고객정보 유출로 인해 손해배상책임을 이행하는 방법 중에는 보험 또는 공제 가입 이외에도 준비금을 적립하는 방법도 있다.

준비금 적립방법은 준비금을 임의적립금(자본계정)으로 적립하고 주주총회 결의 등을 통해 해당 임의적립금이 정보통신망법 제32조의3의 의무 이행을 위한 것임을 명확히 하는 것이다.

준비금이란 회사가 순자산액으로부터 자본액을 공제한 금액(잉여금) 중 일부를 장래에 생길지도 모르는 필요에 대비하기 위해 회사에 적립해 두는 금액을 말하며 임의적립금은 법률의 규정에 의하지 않고 정관·주주총회의 결의에 의해 이익을 유보한 것으로 그 이용 목적과 방법은 회사에서 자유롭게 정할 수 있다.

파이낸셜투데이 이진명 기자

저작권자 © 파이낸셜투데이 무단전재 및 재배포 금지