국내 온라인동영상서비스 티빙(TVING)의 개인정보 유출 사고를 둘러싸고 법적 책임 범위와 이용자 구제 문제가 쟁점으로 떠오르고 있다.

티빙 운영사 CJ ENM은 2일 회원 개인정보가 담긴 데이터베이스에 신원 미상의 해커가 비인가 접근해 일부 정보를 외부로 빼낸 사실을 확인했다고 공지했다. 회사 측은 한국인터넷진흥원(KISA)에 신고를 마쳤고, 공격자 IP 차단과 접근통제 정책 변경, 데이터베이스 접속 모니터링 강화 등 조치를 취했다고 밝혔다.

티빙 측이 통지한 유출 항목은 아이디, 이름, 생년월일, 성별, 연계정보(CI), 중복가입확인정보(DI), 휴대폰 번호 일부, 이메일 일부, 환불 계좌번호, 비밀번호 등이다. 다만 주민등록번호와 결제 관련 유효 정보는 보유하지 않아 유출 대상에서 제외됐다고 설명했다. 휴대폰 번호 일부, 이메일 일부, 환불 계좌번호, 비밀번호 등은 암호화 또는 단방향 암호화 처리됐다는 것이 회사 측 설명이다.

유출 규모와 구체적 원인은 아직 조사 단계다. 이에 따라 이번 사고의 법적 책임은 향후 조사 결과와 보호조치 이행 여부에 따라 달라질 전망이다.

개인정보 유출 사고에서 법적 판단은 크게 두 갈래로 나뉜다. 하나는 이용자에 대한 민사상 손해배상 책임이고, 다른 하나는 개인정보보호위원회 등 감독기관의 행정처분이다.

민사 책임의 핵심은 사업자가 사고 당시 법령과 고시가 요구하는 기술적·관리적 보호조치를 충분히 이행했는지 여부다. 국내 법원은 외부 해킹 사건에서 사업자가 당시 기술 수준에 맞는 보호조치를 갖췄다면, 유출 사고가 발생했다는 사정만으로 곧바로 손해배상 책임을 인정하기 어렵다는 기준을 보여 왔다.

대표적으로 옥션 해킹 사건, 네이트·싸이월드 사건, KT 해킹 사건 등에서는 외부 해킹으로 대규모 개인정보가 유출됐지만, 법원은 사업자의 보호조치 이행 여부를 따져 배상 책임을 제한하거나 부정했다.

반면 내부자나 수탁자를 통한 유출에서는 판단이 달랐다. 카드3사 개인정보 유출 사건에서는 업무를 위탁받은 업체 직원이 고객정보를 빼낸 점, 카드사들이 수탁자 관리·감독을 소홀히 한 점 등이 문제 됐다. 법원은 카드사와 관련 업체의 책임을 인정했다.

이번 티빙 사고도 유출 경위가 외부 해킹인지, 내부 관리·감독상 허점과 연결되는지, 회사가 필요한 보호조치를 다했는지가 주요 판단 기준이 될 것으로 보인다.

행정처분에서는 보호조치 위반 여부와 유출 통지의 신속성이 중요하다. 개인정보보호법상 개인정보처리자는 유출 사실을 인지한 경우 정해진 기한 안에 정보주체에게 알리고 관계기관에 신고해야 한다.

티빙은 사고 인지 다음 날 새벽 앱과 홈페이지를 통해 유출 사실을 공지하고 KISA에 신고했다고 밝혔다. 통지 속도만 놓고 보면 비교적 신속하게 대응한 것으로 보인다. 다만 실제 책임 여부는 접근통제, 암호화, 접속기록 관리, 이상징후 탐지 등 안전조치가 적정했는지에 대한 조사 결과에 따라 판단될 수 있다.

앞서 인터파크 해킹 사건에서는 외부 해킹이었음에도 접근통제 등 보호조치 미흡이 인정돼 행정처분이 확정됐다. 최근에는 개인정보보호법 개정으로 과징금 산정 기준이 강화되면서 대형 플랫폼과 통신사를 대상으로 한 처분 규모도 커지는 추세다.

다만 과징금은 행정제재로서 국고에 귀속된다. 피해 이용자에게 직접 지급되는 배상금은 아니다. 이용자가 손해를 구제받기 위해서는 개인정보분쟁조정위원회 조정, 집단분쟁조정, 민사소송 등 별도 절차를 거쳐야 한다.

이 과정에서 가장 자주 제기되는 문제가 위자료 수준이다. 그동안 개인정보 유출 사건에서 인정된 위자료는 대체로 제한적이었다. 일부 사건에서는 1인당 10만원 안팎의 위자료가 인정됐고, 민감정보 유출 등 특별한 사정이 있는 경우 더 높은 금액이 인정된 사례도 있다.

개인정보 유출은 단순한 일회성 피해에 그치지 않을 수 있다. 연계정보와 중복가입확인정보처럼 여러 서비스의 본인확인에 활용되는 식별값이 다른 정보와 결합될 경우 2차 피해 가능성이 제기될 수 있다. 실제 피해 발생 여부와 위험의 정도는 향후 조사와 피해 접수 과정에서 확인돼야 한다.

티빙 측은 이용자가 자신의 정보 유출 여부를 확인할 수 있는 시스템을 제공하고, 피해 접수와 구제 절차 지원을 위한 별도 고객센터를 운영하겠다고 안내했다. 회사의 사후 대응이 향후 법적 책임 판단과 이용자 신뢰 회복에 영향을 줄 수 있는 대목이다.

이번 사고는 플랫폼 기업의 개인정보 관리 책임을 다시 묻고 있다. OTT 서비스의 경쟁력은 콘텐츠에만 있지 않다. 회원의 개인정보를 안전하게 보관하고, 사고 발생 시 유출 범위와 원인을 투명하게 밝히며, 피해 구제 절차를 신속하게 마련하는 것도 기업 신뢰의 핵심이다.

유교(儒敎)가 중시하는 신(信)은 공동체를 지탱하는 기본 질서다. 공자는 “백성의 믿음이 없으면 나라가 서지 못한다”고 했다. 오늘날 디지털 플랫폼에서도 다르지 않다. 이용자의 정보와 일상을 맡은 기업이 신뢰를 잃으면 서비스의 기반도 흔들릴 수밖에 없다.

아직 조사와 처분이 마무리되지 않은 만큼 티빙의 법적 책임을 단정하기는 이르다. 다만 이번 사고는 개인정보 유출 이후 기업의 설명 책임, 피해자 구제 절차, 위자료 현실화 문제를 다시 논의하게 하는 계기가 되고 있다. 향후 조사 결과와 티빙의 후속 조치가 책임 범위와 시장 신뢰를 가를 전망이다.