“(아이 이름을 대면서) OO를 내가 데리고 있으니 어서 돈을 보내라.” 다짜고짜 이런 전화를 받고 너무 놀라 아이의 선생님에게 부랴부랴 전화를 해 아이가 학교에 있다는 사실을 확인한 뒤에야 마음이 놓였다는 후배. 이 정도 이야기는 요즘 주변에서 흔히 들을 수 있는 경험담에 해당한다.

“나는 OO검찰청 수사관 아무개인데, 당신의 통장에 마약 밀수범들이 착오로 1000만원을 송금했다고 하니 얼른 수사기관에 송금해 달라. 바로 보내지 않으면 당신을 공범이라고 생각할 수밖에 없다”는 전화를 받는다.

그 전화를 건 사람이 시키는 대로 검찰청 홈페이지에 들어가 보니 그런 수사관 이름이 보이고, 나아가 자신의 통장을 인터넷 뱅킹으로 확인해보니 정말 1000만원이 입금되어 있다면? 평생 수사기관이라는 곳에서 전화 받아 본 일이 없는 선량한 시민이라면, 자신의 통장에 엉뚱한 돈이 들어 있다는 점 때문에 그 말을 믿고 시키는 대로 1000만원을 송금하기 딱 좋은 상황이다. 그런데 실제로 송금한 뒤에 확인을 해 보니 그 돈은 자신의 신용카드를 누군가 도용해 카드론을 일으켜 입금해 둔 것이라고 밝혀진다면? 엄청나게 머리를 쓴 보이스피싱에 보기 좋게 당한 것이다. 조금만 주의를 기울이면 쉽게 의심할 수 있는 경우부터 웬만한 사람도 속아 넘어가기 딱 좋을 정도로 치밀하게 구성된 경우도 있다.

최근의 보이스피싱 사례를 살펴보면 진화를 거듭한다고 해도 과언이 아니다. 이런 이야기를 듣다 보면, ‘나도 어느 날 갑자기 저런 전화를 받게 되면 얼마나 당황하게 될까’하는 생각과 함께, ‘나의 개인정보가 얼마나 많이 유통되고 있길래 이런 일이 일어날 수 있을까’하는 불안감을 갖게 된다.

인터넷을 이용한 소통과 생활이 보편화되면서, 우리는 부지불식간에 자신의 정보를 별다른 우려 없이 도처에 제공하곤 한다. 인터넷을 통해 제공된 정보만이 문제가 되는 것이 아니다. 휴대폰을 구입할 때, 체인 마트에서 회원 가입을 할 때, 우리가 종이에 적어서 낸 정보는 궁극적으로 전산화되어 관리된다. 그 과정에서 다시 온라인을 통한 유포 위험성에 노출될 수 있다.

활성화된 집단소송 종래에는 개인정보 보호에 대해서 사회 영역 전반에 걸쳐 일률적으로 적용되는 법이 존재하진 않았다. 그러나 2004년부터 무려 7년에 가까운 논의 과정을 거친 끝에, 공공 및 민간 부분에 걸쳐 보호 가치가 있는 모든 개인정보에 대해 보편적으로 적용될 수 있는 개인정보보호법이 마련됐다. 2011년 3월29일자로 공포됐고, 2011년 9월30일부터 전면적으로 시행되기 시작했다. 개인정보보호법이 현재와 같은 내용으로 마련되는 데에 기여한 요소들은 한두 가지가 아닐 것이나, 분쟁을 담당하는 변호사의 입장에서는 개인정보 유출과 관련해 특이한 형태로 발전했던 일련의 ‘집단소송’을 언급하지 않을 수 없다. 개인정보를 수집하고 이용하며 이에 대한 보호 의무를 부담하는 관리주체가 이를 제대로 간수하지 못해 유출되는 경우, 개인정보의 소유자인 정보주체는 일정한 피해를 입을 가능성이 크다. 다만 유출된 정보를 이용해 범죄가 일어나는 등 구체적으로 2차 피해가 발생하지 않는 한, 유출 자체로 입게 되는 1차적인 피해는 정신적 피해에 국한되는 경우가 대부분이다. 이러한 정신적 피해가 발생한다고 하더라도 그 금액 자체는 그다지 크지 않다. 피해 사실을 주장하는 정보주체가 혼자서 정보 관리주체를 상대로 소송을 해 실익이 있을 정도가 되기는 어렵다.

이렇듯 수많은 피해자가 같거나 유사한 피해를 입은 경우, 미국에서는 비록 그 중 일부 피해자들만이 원고가 되어서 소송을 진행한다고 하더라도 그 판결의 효력이 같은 피해를 입은 피해자들에게 일률적으로 적용되는, 소위 ‘집단소송(Class Action)’이 일반적인 소송 형태의 하나로 인정받고 있다. 그러나 우리나라에서는 원고가 되어 직접 소송에 참여하지 않는 한 판결의 효력을 받을 수 있는 방법이 원칙적으로 없었다. 때문에 다수의 소액 피해자들이 그 피해를 구제받을 방법이 마땅치 않았다.

그런데 개인정보 유출 손해배상청구에서는 다수의 소액 피해자들이 모여서 집단으로 피해를 구제받는 방안이 추진되고, 실제로도 성공했다. 피해를 입은 정보주체들이 인터넷 활동을 활발하게 하는 사람들이었고 이에 착안한 일부 변호사들이 인터넷 카페 등을 통해 온라인으로 원고를 모집하는 방안을 고안해냈기 때문이다.

법원이 개인정보의 유출로 정보 주체들이 정신적 손해를 입었다고 인정해 십 만원 내지는 몇 십 만원의 금액에 해당하는 손해의 배상을 명하는 판결들을 선고하게 되자, 이러한 소송들은 더욱 활발하게 진행됐고 ‘사실상의 집단소송’이 활성화되기에 이르렀다.

Ⅱ 판결’이라 불리는 이 사례는 개인정보 유출에 대한 정신적 손해와 이에 대한 위자료의 지급을 인정한 최초의 판결이다. 이 판결은 상소를 거치면서 위자료 금액이 감액되기는 했으나 기본적인 판단 부분은 유지됐다.

그 후 진행된 많은 개인정보 유출 사건에서도 이 판결에서의 판단 기준이 활용됐다. 이렇듯 ‘사실상의 집단소송’으로 다수의 소액 권리자의 권리 구제가 활발하게 이루어진 것은 사실이지만, ‘사실상의 집단소송’이 긍정적인 영향만을 미친 것은 아니다. 몇 건의 법원 판결들이 나오면서 ‘개인정보 유출 사고의 발생’이 곧 ‘위자료 지급의무의 인정’을 의미한다는 인식이 확산됐다. 그러자 일단 개인정보 유출사고가 발생했다는 보도가 나오면 그 사고에 대한 수사기관 등의 조사가 완료되어 자초지종이 제대로 밝혀지기도 전에 원고들이 모집되어 소송이 시작되는 경우들도 발생했다.

반면 비록 개별 피해자들이 지급받게 되는 금액은 적다고 하더라도 많은 수의 원고들이 모이게 되면 판결의 결과가 개인정보 관리주체에게 미치는 영향은 매우 커지기 때문에, 법원은 개인정보 관리주체에게 개인정보 유출에 관한 책임을 묻는 사건들에서 신중한 태도로 엄격하게 요건을 심사했다. 그 결과 이렇게 시작된 사건들에서 원고들의 청구가 기각되는 경우들도 발생했다. 한 유명 사이트 회원들 정보가 해킹 때문에 유출되어 회원들이 개인정보 관리주체를 상대로 손해배상을 청구한 사례가 있었다.

1심 법원은 ‘해킹으로 인한 개인정보의 유출 자체는 이루어졌으나, 개인정보 관리주체가 자신에게 요구되는 주의 의무를 모두 기울여 관리했기 때문에 잘못이 있다고 보기 어렵다’는 이유로 손해배상청구를 인정하지 않았다. 이 사건에 대해서는 현재 항소심이 진행 중이다. 심지어 이러한 집단소송의 제기를 유도해 수입을 올리겠다고 마음먹은 한 회사의 직원도 있었다. 회사 서버에서 불법적으로 개인정보를 절취해 CD에 담은 뒤 기자들과 접촉해 ‘이 CD를 쓰레기통에서 발견했다’고 거짓말을 한 사실이 대대적으로 보도됐다. 이 직원 등을 바로 체포하고 CD 등을 모두 회수했다. 직원은 본인의 불법적인 목적을 달성하지 못하고 개인정보도 유통되지는 않았다.

그런데 아이러니하게도 보도가 나간 직후부터 변호사들이 카페를 개설하고 원고를 모집해 소송을 시작한 결과, 실제로 그 회사를 상대로 엄청난 수의 원고들이 ‘사실상의 집단소송’을 진행하게 됐다. 1심 법원은 ‘위와 같은 사건의 경위에 비추어 보면 실제로 개인정보 주체들에 대해 정신적인 손해가 발생했다고 보기는 어렵다’고 판단해 원고들의 청구를 기각했다. 이러한 판단은 2심에서도 유지됐다.

효율적 개인정보 구제제도 도입 예정 개인정보의 보호에 대해 개별 법령들이 산업이나 정보 취급 형태 등에 따라 부분적으로만 정해두고 있어 법원이 법 해석을 통해 개인정보 관리주체의 주의 의무를 비롯한 여러 판단 기준에 대해 사건별로 결정해 오던 상황에서, 사회 전반에 일률적으로 적용될 수 있는 개인정보 보호 수준을 정한 개인정보보호법이 시행되는 것은 정보를 맡기는 개인들이나 정보 관리주체들 모두 환영할 일이라고 생각된다. 공공·민간 부분의 모든 개인정보 관리주체에게 적용되는 개인정보보호법은 개인정보의 수집, 이용, 제공 등 단계별로 보호 기준을 마련해 두고 있다. 그리고 정보주체가 용이하게 개인정보에 대한 자기통제권을 실현할 수 있도록 하고 있다. 개인정보유출 사실에 대한 통지·신고 제도의 도입과 제한적인 범위 내에서의 단체소송 도입 등을 통해 침해가 이루어진 경우의 효율적 구제도 꾀하고 있다. 개인정보 유출과 관련한 피해를 예방하는 것은 정보주체인 개인 스스로와 정보 관리주체의 노력이 모두 요구되는 일이다. 서로가 개인정보의 중요성에 대한 인식을 같이 하고 조금 더 노력을 기울여 이를 관리한다면, 타인의 개인정보를 불법적으로 이용해 부정한 이득을 얻으려는 사람들이 설 땅이 좁아질 수 있지 않을까. 필자 스스로부터라도 이러한 정보 관리를 게을리 하지 않도록 다시 마음을 다져야 할 것 같다.

■ 김세연 변호사는 1991년 서울대학교 법과대학을 졸업하고 같은 해 33회 사법시험에 합격. 사법연수원 23기다. 이후 2007년에는 미국 Duke University Law School에서 LL.M과정을 밟기도 했다. 서울지방법원 등에서 7년간 판사로 재직하다가 2001년부터 변호사로 활동했다. 현재는 법무법인 율촌 송무그룹의 파트너 변호사로서 회사 및 부동산 등 관련 국내 쟁송과 국제 중재를 주된 업무로 하고 있다. [김세연 / 법무법인 율촌 변호사 kimsy@yulchon.com]

[본 기사는 매일경제 Luxmen 제15호(2011년 12월) 기사입니다]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]