해킹에 의한 개인정보 유출 사고로 피해를 입은 고객들이 케이티(KT)를 상대로 낸 손해배상 청구소송에서 법원이 엇갈린 판결을 내려 항소심 판단이 주목된다. 인터넷이라는 특성상 모든 사이트가 해커의 불법적인 침입에 노출될 수밖에 없고 완벽한 보안을 갖춘다는 것은 어렵다고 판단한 재판부가 있는 반면, 정보통신업체는 사회통념상 요구되는 수준 이상의 보호조치를 다해야 한다면서 보다 큰 책임을 강조한 재판부도 있다. 서울중앙지법 민사6단독 심창섭 판사는 17일 A씨 등 39명이 KT를 상대로 낸 손해배상 청구소송(2014가소413127)에서 "KT는 1인당 10만원씩 지급하라"며 원고일부승소 판결했다. 2013년 8월부터 2014년 2월까지 KT가 운영하는 마이올레 홈페이지에서 해킹 사고가 발생해 개인정보가 대거 유출됐다. 해커는 이 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력하는 해킹프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 빼냈다. 이에 A씨 등은 2014년 5월 "KT의 관리감독 부실로 개인정보가 유출됐다"며 "1인당 20만원을 배상하라"며 소송을 냈다. 심 판사는 "정보통신서비스 제공자는 사회통념상 합리적으로 기대 가능한 기술수준으로 개인정보를 관리하고 있지만 해커들은 항상 기술수준을 뛰어넘는 방법을 사용한다"며 "KT가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 기술적·관리적 보호조치를 한 것만으로 개인정보의 안전성 확보에 필요한 조치를 다했다고 볼 수 없다"고 밝혔다. 이어 "KT는 7개월간에 걸쳐 1170만건의 개인정보 유출이 이뤄졌는데도 이를 확인하지 못했다"며 "보안관련 인력을 보강하거나 서버를 외부접속용과 내부 접속용으로 분리하는 등 해킹 사고를 방지하기 위한 조치도 취하지 않았다"고 지적했다. 그러나 지난달 20일 서울중앙지법 민사22부(재판장 전지원 부장판사)는 B씨 등 같은 피해를 당한 3645명이 KT를 상대로 낸 손해배상 청구소송(2014가합553622)에서 원고패소 판결했다. 재판부는 "정보통신서비스 제공자가 법에서 정하고 있는 기술적·관리적 보호조치를 다했다면 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 보기 어렵다"고 밝혔다. 이어 "하루 접속 건수가 3300만여건에 이르는 마이올레 홈페이지의 시스템과 같이 방대한 규모의 모든 웹서버 접속 로그 기록을 실시간 분석하거나 상시적으로 사후 분석하는 것은 현실적으로 불가능하다"며 "해커 접속(34만건)은 1% 미만이어서 이상행위를 탐지하기도 어려웠다"고 설명했다. 그러면서 "개인정보 등을 송·수신할 때 암호화의 대상 범위는 일반인이 접근 가능한 인터넷 공중망을 의미한다"며 "해커가 암호화되지 않은 주민등록번호를 확인한 곳은 대리점 PC 내부 영역으로 정보통신망법상 암호화가 요구되는 영역이 아니다"라고 판시했다. 정보통신망법 시행령 제6조 3항은 정보통신서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다고 규정하고 있다. 앞서 대법원은 2015년 2월 KT와 유사하게 해킹에 의해 개인정보가 유출된 경매업체 옥션 사건에서 "온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 업체에 개인정보 유출에 대한 책임을 지우기 어렵다"고 판결했다(2013다43994). 한편 한국소비자원(원장 한견표)은 지난 20일 개인정보 유출 피해를 입은 KT 고객들이 "위약금 없이 서비스를 해지할 수 있도록 해달라"며 신청한 조정을 각하했다. 당시 KT는 개인정보 유출 피해를 본 고객들이 서비스를 해지하겠다고 하자 위약금을 규정대로 물려 사회적 비난을 받았다. 경실련은 2014년 7월 피해고객 57명과 함께 소비자원에 위약금을 물리지 않도록 집단분쟁조정을 신청했다. 그러나 소비자원은 "법에서 정한 최소한의 기술적·관리적 보호조치를 취했으므로 이용계약 해지에 귀책사유가 없고, 개인정보 유출로 재산적 피해는 발생하지 않았다"는 이유로 각하 결정했다. 이에 경실련은 "소비자원은 합리적 설명 없이 절차를 개시하지 않은 채 사건을 장기간 방치해, 다수 피해자가 어쩔 수 없이 해지 위약금을 부담하거나 남은 약정 기간을 채울 수밖에 없었다"며 소비자원에 대한 공익감사 청구와 행정소송 제기를 검토하겠다고 밝혔다.

지난 7월 발생한 KT 고객 개인정보 유출사건의 피해자 2만4000명이 120억원 규모의 집단소송을 냈다. 27일 법조계에 따르면 이들은 최근 "KT의 과실로 정보가 유출돼 사생활 침해 등의 피해를 입었으니 1인당 50만원씩을 지급하라"며 KT를 상대로 손해배상청구소송(2012가합81628)을 서울중앙지법에 냈다. 원고들은 "KT는 고객정보 유출을 방지해야 할 의무가 있는데도 기술적 보호조치를 제대로 이행하지 않았다"며 "고객정보의 관리 소홀로 생긴 손해를 배상할 책임이 있다"고 주장했다. 이 소송을 대리하고 있는 법무법인 평강 관계자는 "현재 3000명 규모의 2차 소송인단을 모집을 완료했고 3차 소송인단을 모집하고 있다"며 "다음 달 중 추가 소송을 낼 계획"이라고 밝혔다. 평강은 소송비용으로 100원만 받고 소송에 참여할 피해자를 모았다. 이번 정보유출 사건의 피해자는 800만명이 넘는 것으로 추산된다. 일부 변호사들이 인터넷 포털사이트를 중심으로 피해자 모임을 개설해 소송인단을 모집하고 있어 앞으로 KT를 상대로 한 손해배상 소송규모는 더 커질 것으로 보인다.

최근 사회적 논란을 일으킨 하나로텔레콤의 고객 600만명 개인정보 유출사건과 관련, 첫 집단소송이 제기됐다. 하나로텔레콤 고객으로 가입했다가 개인정보유출 피해를 당한 30명은 28일 “악의적인 정보유출로 인한 정신적 위자료로 각 피해자에게 100만원씩 총 3,000여만원을 지급하라”며 회사와 국가를 상대로 손해배상청구소송(2008가단151554)을 서울중앙지법에 냈다. 원고들은 소장에서 “정보통신서비스제공자는 이용자의 개인정보를 취급함에 있어 개인정보가 분실·도난·누출 또는 훼손되지 않도록 안전성 확보에 필요한 기술적·관리적 조치를 해야 한다”며 “하나로텔레콤은 개인정보가 누출되지 않도록 주의를 다했어야 함에도 불구하고 오히려 고객들의 개인정보에 해당하는 성명, 주민등록번호, 계좌번호 등을 회사 차원에서 영리를 목적으로 제3자에게 무단판매한 것은 위법한 것”이라고 주장했다. 원고들은 또 “국가의 정보통신부 소속공무원은 이번 사건과 관련해 하나로텔레콤에 대한 관리감독을 소홀히 했을 뿐만 아니라 심지어는 이번 사태 이후 도움을 주려 했다”며 “국가가 개인정보를 관리하는 업체를 철저히 감독해 법을 준수하게끔 했어야 함에도 오히려 이번 사건을 방조했다”고 주장했다. 원고들은 이어 “유사한 다른 사건들의 경우 회사직원들의 과실에 의해 피해가 발생한 반면, 이번 사건은 하나로텔레콤이 고의적 조직적으로 관련됐다”며 “고객의 정보를 돈을 받고 판매해 형사입건까지 되는 등 다른 사건들에 비해 불법성이 현저히 높은 만큼 위자료 액수도 보다 높게 산정해야 한다”고 주장했다. 원고들은 경찰수사결과 하나로텔레콤이 2006년 1월부터 2년간 가입자 600만명의 성명·주민번호·주소·전화번호 등 개인정보를 전국 1,000여개 텔레마케팅 업체에 제공했다는 혐의가 드러나자 손해배상 소송을 냈다.

국민은행이 인터넷복권 구매 안내메일을 발송하면서 고객명단을 첨부해 개인정보가 유출된 사고에 대해 은행이 피해고객에게 10만원씩을 배상하라는 판결이 나왔다. 서울중앙지법 형사31부(재판장 김인욱 부장판사)는 8일 국민은행 주택복권통장 가입자 1026명이 "개인정보가 유출돼 정신적 고통을 입었다"며 국민은행을 상대로 낸 손해배상 청구소송(2006가합33062)에서 "이메일만 유출된 2명에게는 7만원씩, 주민등록번호 등 다른 정보도 유출된 나머지 원고들에게는 10만원씩을 배상하라"고 원고일부승소 판결했다. 재판부는 판결문에서 "인터넷상에서 개인의 식별은 기본적인 데이터에 의해서만 이뤄지므로 개인정보를 이용해 혼동을 일으킬 가능성이 매우 크고, 주민등록번호는 전 국민에게 부여되는 유일하고 일신전속적인 특성을 지니고 있어 유출될 경우 개인에 대한 데이터들이 도용될 위험성이 크다"며 "원고들은 개인정보를 제3자가 알게 되거나 악용할지도 모른다는 위험에 노출됐다 할 것이므로, 개인정보 유출사고로 정신적 고통을 받았을 것을 인정할 수 있다"고 밝혔다. 재판부는 또 "비록 국민은행의 신속한 사후조치를 취해 원고들의 개인정보가 악용돼 피해를 입은 사실이 없다고 하더라도 원고들은 개인정보가 함부로 공개되지 않을 권리가 침해됐다"며 "이와같은 권리는 원고의 인격적 이익에 직접 관계되는 것이므로, 원고들이 개인정보 유출사고로 입은 정신적 고통은 통상손해라고 봐야한다"고 덧붙였다. 국민은행은 지난해 3월 인터넷 복권통장 가입고객 중 접속빈도가 낮은 3만 2277명에게 인터넷복권 구매안내메일을 발송하면서 고객들의 이름과 이메일주소, 주민등록번호 등의 개인정보가 든 파일을 첨부해 발송했다. 이에 정보가 유출된 고객들이 은행을 상대로 총 30억 7400만원을 배상하라며 소송을 냈다.