[스페셜경제=박고은 기자]대기업?카드사 뿐 아니라 비영리재단 등도 개인정보를 유출, 무단 활용 및 제공했던 것으로 나타났다.

특히 약학정보원은 2011년~2014년 국민 의료정보 43억 건을 빅데이터 회사인 IMS헬스에 판매했으며 국민의 의료정보를 엄격히 보호해야 할 공공기관 건강보험심사평가원도 2017년까지 6400만명의 표본데이터셋을 민간보험사 등에 판매한 것으로 드러났다.

참여연대 공익법센터(소장 양홍석 변호사)는 지난 1일 2007년부터 2017년 사이 한국사회에서 발생한 주요 개인정보 침해사례 44건을 분석한 이슈리포트 ‘그 많은 내 개인정보는 누가 다 가져갔을까-2007-2017 개인정보수난사 worst 44’를 발표, 10여년 간 무려 60억 건이 넘는 개인정보가 유출되거나 무단 활용, 제공됐다고 분석했다.

참여연대에 따르면 개인정보 침해사례는 개인정보를 대량 보유한 대기업, 특히 통신, 카드, 금융회사에서 빈번히 발생했다.

침해사례의 유형별로 해킹에 의한 유출 23건, 직원에 의한 유출 9건, 무단사용?판매 9건, 관리 소홀로 인한 노출 3건을 분석했는데 이중 개인정보 유출규모로는 무단사용판매가 59억 건으로 제일 큰 것으로 나타났다.

문제는 개인정보 침해사고에 대한 감독기관의 과태료, 과징금 등 행정적 제재는 매우 낮다는 것.

대표적으로 1억 건이 넘는 개인정보가 유출된 카드3사(국민카드, 농협카드, 롯데카드)의 경우 감독기관의 행정처분은 과태료 600만 원 부과에 불과했다.

삼성카드도 2011년 영업직원이 삼성카드 서버에 침입해 196회 걸쳐 192만명 고객정보 유출해 신용정보회사 담보대출업무에 사용했다. 하지만 삼성은 이러한 대규모 유출사실 알고도 12일 지나서야 고객에게 알려 늑장대응, 은폐의혹 제기됐지만 유출직원 구속기소되고 과태료 600만원, 삼성카드 ‘기관주의’, 대표이사 ‘주의’조치에만 처해졌다.

메리츠화재 역시 2013년 내부직원이 16만명의 보험가입자의 이름, 연락처, 직업, 주소, 생년월일, 가입상품명, 가입금액 등의 고객 계약정보 유출했지만 기관경고와 과태료 600만원에 그쳤다

하지만 일부 피해자들이 소송을 제기하더라도 피해를 구제받기 어려운 것으로 나타났다.

법원은 해킹에 의한 정보유출의 경우, 기업의 배상책임을 대부분 인정하지 않고 무단유출 등으로 배상이 인정된다 해도 원고 1인당 10만원 내외에 불과해 결과적으로 기업은 충분한 법적 책임을 지지 않은 것으로 알려진다.

참여연대는 “솜방망이 행정제재와 법원의 소극적 판결은 기업으로 하여금 개인정보 보호와 보안에 투자할 유인을 낮춘다는 점에서 결국 반복되는 개인정보 침해사고의 주요 원인”이라고 지목했다.

참여연대는 지난 10년의 사례를 통해 볼 때 개인정보의 동의 없는 결합과 집적, 유통을 대폭 확대하는 지금의 정책방향이 지속된다면 더 많은 개인정보가 위험에 노출될 것이고 이에 대한 충분한 사회적 제재나 권리구제도 기대하기 어려울 것이라고 관측했다.

빅데이터와 관련 개인정보를 필요이상으로 과도하게 수집하지 않고 충분한 보호조치를 취할 수밖에 없도록 정책을 설계해야 한다면서 ▲개인정보 수집단계에서부터 목적구속원칙과 최소수집원칙을 담보할 수 있는 제도개선 ▲정보주체가 자신의 개인정보의 수집범위나 활용 여부를 통제할 수 있는 권리 실질화 ▲개인정보 보호를 위한 법제 및 감독기구 개선 ▲권리구제를 활성화하기 위한 집단소송제도 도입 및 징벌적 배상제도 확대 등이 이루어져야 한다고 강조했다.

이하는 2007-2017 개인정보 침해사례다.

[사진출처=뉴시스]