유출된 내 정보가 3600원짜리?

심재오 케이비(KB)국민카드 사장(오른쪽부터), 박상훈 롯데카드 사장, 손경익 엔에이치(NH)농협카드 분사장이 20일 오전 서울 중구 태평로 코리아나호텔에서 고객정보 유출에 대해 고개 숙여 사과하고 있다. 신소영 기자 viator@hani.co.kr

KB·NH·롯데카드 피해 대책
‘한달 300원’ 문자서비스 제공뿐
2차 피해 발생때만 구제 밝혀

1억400만건의 개인정보를 유출한 케이비(KB)·엔에이치(NH)·롯데 등 3개 신용카드사 대표는 20일 기자회견을 열어 하나같이 “책임을 통감한다”며 회사별 대응 계획을 발표했다. 하지만 비통한 표정에 견줘 실제 피해 고객들이 받을 보상은 매우 미미하다.

심재오 케이비카드 사장은 “정보 유출로 인한 카드 위·변조 피해에 대해서는 정해진 보상 기간과 상관없이 카드사가 전적으로 책임질 것”이라고 밝혔다. 심 사장은 또 “티엠(TM·텔레마케터) 영업을 중단한다. 1400명에 이르는 티엠 인력은 전원 2차 피해 보상 관련 대응 업무를 맡게 된다”고 덧붙였다. 롯데카드도 “정보 유출에 따른 부정사용 등 고객 피해를 전액 보상한다. 콜센터 인력을 2배 확충하겠다”고 말했고, 엔에이치카드도 “정보 유출 고객에게 금전적 피해가 발생할 경우 전액 구제한다”고 말했다.

이런 보상 및 대응 계획은 모두 ‘2차 피해’가 발생했을 경우를 전제한 것이다. 2차 피해란 유출된 정보가 활용된 금융사기에 따른 금전적 피해를 가리킨다. 현재 검찰과 금융당국은 모두 2차 피해 가능성을 매우 낮게 보고 있다. 그 근거는 1억400만건의 정보를 빼낸 신용정보회사 코리아크레딧뷰로(KCB) 직원 등이 해당 정보를 외부에 유출하기 전에 검찰이 모두 압수했다는 것이다. 신제윤 금융위원장은 이날 기자들과 만나 2차 피해 가능성에 대해 “(없다고) 확신한다. 검찰 수사 결과를 보면, 추가 유출로 인한 추가 피해는 있을 수 없다”고 말했다. 실제 정보 유출이 최초 발생(2012년 10월)한 지 1년 남짓 흘렀지만 이에 따른 2차 피해가 수사당국이나 금융당국, 개별 카드사에 접수된 사례는 아직 보고된 바 없다.

결과적으로 3개 카드사는 실현 가능성이 매우 작은 2차 피해에 따른 보상안을 제시한 것이다. 카드 위·변조 등에 따른 직접적인 2차 피해가 아닌 정보 유출에 따른 고객들의 불안감을 활용한 각종 금융사기에 따른 피해 보상 계획은 검토조차 하지 않고 있다. 금융당국도 같은 태도다. 박세춘 금감원 부원장보는 19일 브리핑에서 “보상 범위는 유출된 정보가 금융사기에 이용되면서 발생한 피해”라고 분명히 선을 그었다.

금융당국과 카드사들의 이런 태도는 정보 유출 자체에 대해선 아무런 보상은 하지 않겠다는 의미이기도 하다. 카드사들이 정보 유출 피해 고객을 상대로 내놓은 유일한 방안은 1년간 카드결제 내용을 알려주는 문자서비스 무료 제공이다. 월 사용료가 300원에 불과한데다, 대부분 카드 고객들이 해당 서비스를 이미 이용하고 있다는 점을 염두에 두면 카드사가 이 서비스로 부담해야 할 비용은 매우 적다. 이름을 밝히길 꺼린 금융당국 관계자는 “(카드사 대책은) 피해를 최소화하겠다는 게 아니라 자신들의 부담을 최소화하겠다는 것 같다”고 꼬집었다.

쟁점 중 하나는 정보 유출에 따른 위로금 지급 여부다. 정보 유출로 직접적 금전적 피해를 입지 않았다고 하더라도 정보 유출 행위 그 자체에 따른 정신적 피해를 보상해야 한다는 판례가 과거에 여러 차례 있었다. 한 예로 2005년 게임 <리니지2> 사건(회사 쪽 업데이트 과정에서 고객 아이디와 비밀번호 유출)에 대한 피해자들의 손해배상 소송에서 대법원은 “정보 유출로 고객의 구체적인 피해 사례가 없는 경우에도 기업은 고객에게 위자료를 지급해야 한다”며 1인당 10만원의 위자료 지급을 판결했다.

국민은행도 2006년께 발생한 개인정보 유출 사고에 따라 이름과 전자우편주소가 유출된 고객에게는 1인당 10만원, 주민등록번호까지 유출된 1024명에겐 위로금 20만원을 지급했다. 다만 최근 들어선 법원은 정보 유출이 됐다고 하더라도 손해가 없을 경우엔 배상 책임을 묻지 않는 쪽으로 판결을 내리고 있다.

카드 정보 유출 사고 뒤 금융당국이나 카드사 쪽이 연일 내놓은 피해 고객 보상 대책에 이런 내용은 담기지 않았다. 이에 대해 금융권에선 위로금을 지급할 경우 카드사들이 자칫 문을 닫는 처지에 빠질 수 있다는 판단에 따라 카드사와 금융당국 모두 ‘의도적 침묵’에 빠져 있는 것이라는 평가가 나온다. 실제 과거 국민은행의 정보 유출에 대한 판례를 적용할 경우 4000만명의 정보를 유출한 케이비카드는 8조원, 각각 2000만명의 정보를 유출한 엔에이치카드와 롯데카드는 각 4조원의 배상금을 물어야 한다. 3개 카드사를 포함한 국내 7개 카드사의 연간 순이익은 2조원을 밑돈다. 금감원의 한 국장은 “과거 국민은행 사건보다 유출된 정보가 훨씬 더 많기 때문에 1인당 배상금은 더 커질 수 있다. 3개 카드사가 심각한 위기에 봉착할 것”이라고 말했다. 신제윤 위원장은 이날 정신적 피해 보상에 대해 “지켜보자”고만 말했다.

김경락 정유경 김원철 기자 sp96@hani.co.kr