개인정보 유출 대비 통신망법 시행령 개정

이용자 수·연매출 따라 3개 구간으로 나눠
가입 100만·매출 800억 땐 최소 10억 보험
13일 시행… 연말까지 계도기간 운영 방침
“개인정보 안 모으면 보험 가입 의무 없어”잇단 개인정보 유출 사고와 관련해 웹사이트를 운영하는 사업자는 손해배상 책임보험 가입이 의무화된다. 손해보험사들도 관련 보험 상품을 내놓고 있지만, 의무 가입 대상 범위를 놓고 현장에서는 혼선도 빚어지고 있다.

4일 국무회의를 통과한 정보통신망법 시행령 개정안은 해킹 등으로 인한 개인정보 유출 사고에 대비해 기업에 ‘사이버보험’ 가입을 강제하는 것이 핵심이다. 개정안은 오는 13일부터 시행되나 올해 말까지는 계도 기간으로 운영할 방침이다.

개인정보가 유출되면 소비자들은 기업에 피해배상 소송을 청구하는데, 기업이 배상액을 감당하지 못하는 상황을 미리 막자는 취지다. 업계에서는 보험 가입은 기업이 자율적으로 선택해야 한다는 의견을 제시했지만 개인정보 유출 사태가 연이어 터지면서 의무화로 가닥이 잡혔다.

실제 개인정보 유출 이후 기업에 손해배상을 명령하는 판결은 꾸준히 나오고 있다. 2014년 KB국민카드. 농협카드, 롯데카드 고객 1억명의 개인정보가 유출됐던 사건에 대해서는 소송이 진행 중인 가운데 하급심에서 1인당 10만원씩 배상하는 판결이 나온 상태다. 대개 법원은 개인정보 유출 사건에서 소비자에게 10만~100만원의 배상 판결을 내리고 있다.

문제는 보험 의무 가입 대상을 어디까지로 볼 것이냐다. 개정안은 직전 사업연도 매출액이 5000만원 이상이면서 직전 3개월 동안 개인정보가 관리되고 있는 이용자 수가 하루 평균 1000명 이상인 곳을 대상으로 하고 있다.

업종에 관계없이 인터넷 사이트를 운영하면서 1000명 이상의 가입자를 확보한 곳이라면 사실상 모든 사업자가 해당되는 셈이다. 네이버나 다음 등 포털 사이트를 비롯, 이름과 전화번호와 같은 식별 정보를 토대로 회원 가입을 받는 온라인 쇼핑몰, 게임 사이트, 언론사 홈페이지 등이 대표적이다. 신종철 방송통신위원회 개인정보보호윤리과장은 “개인정보를 수집하지 않는 사이트는 일일 방문객 수와 관계없이 의무화 대상이 아니다”라고 밝혔다.

의무 가입자는 이용자 수와 연매출에 따른 최저가입금액에 맞춰 보험에 가입해야 한다. 이용자 수는 1000~10만명 미만, 10만~100만명 미만, 100만명 이상 등 3개 구간으로 나뉜다. 매출액은 5000만~50억원, 50억~800억원, 800억원 초과 등 3개로 구분된다. 예를 들어 매출액이 800억원을 넘고 가입자가 100만명을 넘으면 최소 10억원짜리 보험에 가입해야 한다.

방통위는 오는 11일 한국인터넷진흥원에서 보험사와 함께 사업자를 대상으로 설명회를 개최할 예정이다.

조용철 기자 cyc0305@seoul.co.kr