2012년 KT 고객 개인정보 유출 사고에 대해 KT는 손해배상 책임이 인정되지 않는다고 대법원이 최종 판단했다. 대법원 민사1부(주심 권순일 대법관)는 28일 강모씨 등 정보유출 피해자 342명이 KT를 상대로 낸 손해배상 청구소송 상고심에서 원고패소 판결한 원심을 확정했다(2017다207994). 2012년 7월 발생한 'KT 개인정보 유출 사고'는 해커에 의해 KT 가입자 870만명의 개인정보가 무분별하게 유출된 사건이다. 2명의 해커가 고객정보를 몰래 조회할 수 있는 프로그램을 만들어 이름과 주민등록번호를 비롯해 휴대전화 가입일, 고객번호, 사용 요금제, 기기 변경일 등의 개인정보를 빼낸 것으로 드러났다. 이에 피해자들은 KT의 관리·감독 부실로 개인정보가 유출됐다며 1인당 50만원을 배상하라고 소송을 냈다. 앞서 1심은 "KT는 사내 통신망의 ID와 비밀번호, 사용자 계정에 대한 관리를 소홀히 했고, 망 내 데이터베이스에 주민등록번호와 같은 중요 정보도 암호화하지 않고 저장했다"며 "피해자에 10만원씩 배상하라"고 밝혔다. KT의 책임을 일부 인정한 것이다. 그러나 항소심은 "KT가 개인정보 유출방지에 관한 기술적·관리적 보호조치를 이행하지 않은 과실로 인해 사고가 발생했다고 보기 어렵다"며 KT에 책임이 없다고 판단했다. 대법원은 2심 판단이 옳다고 봤다. 한편, 같은 재판부는 이날 또 다른 피해자 100명이 KT를 상대로 같은 취지로 낸 손해배상 청구소송 상고심에서는 원고일부승소한 원심을 깨고 패소 취지로 사건을 서울중앙지법에 돌려보냈다(2017다256910). KT에 정보유출 책임을 물을 수 없다는 취지다. 대법원 관계자는 "정보통신서비스 제공자가 개인정보보호를 위한 법률상 또는 계약상 의무를 위반하였는지를 판단할 때에는 해킹으로 인한 침해사고의 경우 당시 일반적으로 알려져 있는 정보보안 기술 수준과 서비스업체가 취한 보안조치, 해킹기술, 보안기술 발전 등을 종합적으로 고려해야 한다는 것을 다시 한번 확인한 판결"이라고 설명했다.

지난 2014년 발생했던 카드사 고객정보 대량 유출사태의 피해자들이 카드사로부터 10만원씩 배상받게 됐다. 서울중앙지법 민사22부(재판장 박형준 부장판사)는 22일 이모씨 등 2306명이 ㈜KB국민카드와 신용정보회사 코리아크레딧뷰로(KCB)를 상대로 "1인당 20만원씩 지급하라"며 낸 손해배상청구소송(2014가합513860)에서 "이씨 등에게 1인당 10만원씩을 배상하라"며 원고일부승소 판결했다. 또 박모씨등 2212명이 ㈜KB국민카드와 KCB를 상대로 낸 소송(2014가합511970)과 고모씨 등 142명이 농협은행을 상대로 낸 소송(2015가합532332), 강모씨 등 545명이 농협은행을 상대로 낸 같은 소송(2014가합563384)에서도 "피해자들에게 1인당 10만원씩 배상하라"고 판결했다. 재판부는 판결문에서 "주민번호 등 사생활과 밀접한 정보가 유출됐으며 일부는 여전히 회수가 안 돼 앞으로도 제3자가 열람할 가능성이 크다"며 "사회적 통념에 비춰 피해자들에게 정신적 고통이 발생한 점이 인정된다"고 밝혔다. 이어 "카드회사는 개인정보보호법상 의무를 위반해 고객의 개인정보가 유출된 원인을 제공했으며, KCB도 직원에 대한 감독 의무를 다하지 못했다"며 "카드회사와 신용정보회사에게 배상책임이 인정된다"고 설명했다. 2014년 초 KB국민카드 등 카드사에서 1억건이 넘는 고객정보가 유출되는 사고가 발생했다. KCB 직원이 카드사 시스템 개발 과정에서 보안프로그램이 설치되지 않은 PC로 개인정보를 빼돌리다가 발생한 일이었다. 유출된 개인정보는 상당수 회수·폐기됐지만 일부는 대출중개업체 등에 넘어가 전화영업 등에 쓰였다. 이에 피해자들은 정신적 고통을 배상하라며 잇따라 소송을 냈다.

소속 직원이라면 누구나 공유할 수 있는 고객정보라도 로그인 절차는 거쳐야 열람이 가능하다면 영업비밀에 해당한다는 판결이 나왔다. 직원이 이 정보를 퇴사 후 영업에 활용했다면 영업비밀침해에 해당한다는 취지다. 서울중앙지법 민사11부(재판장 김기영 부장판사)는 어린이 교재·교구 판매업체인 A사가 전 직원 김모씨와 임모씨를 상대로 "영업비밀을 빼돌렸으니 1억원을 지급하고 보관중인 고객정보를 폐기하라"며 낸 영업비밀침해금지 등 청구소송(2014가합48335)에서 "두 사람은 A사에 1000만원을 배상하고 보관중인 고객정보를 폐기하라"며 2일 원고일부승소 판결했다. 재판부는 판결문에서 "부정경쟁방지 및 영업비밀보호에 관한 법률상 '영업비밀'에 해당하려면 공연히 알려져 있지 않고(비공지성) 독립된 경제적 가치를 지니는 것으로서(경제적 유용성) 합리적 노력에 의해 비밀로 유지돼야(비밀유지성) 한다"고 밝혔다. 이어 "김씨 등은 영업관련 업무담당자 누구나 공유할 수 있는 자료이고 심지어 임시 계약직 사무원도 제약없이 볼 수 있어 영업비밀로 볼 수 없다고 주장하지만, A사가 고객정보시스템을 통해 해당 자료를 관리하고 있을뿐만 아니라 직원들이 아이디와 패스워드를 입력해 로그인해야만 시스템에 접속해 열람할 수 있으므로 비공지성을 상실할 정도에 이르렀다고 볼 수 없다"고 설명했다. 재판부는 "고객정보의 내용과 열람·관리절차 등을 보면 경제적 유용성과 비밀유지성도 인정된다"며 "두 사람이 A사의 영업비밀을 침해했기 때문에 자료를 폐기하고 A사가 입은 손해를 배상해야 한다"고 밝혔다. 임씨는 2013년 6월 A사를 퇴직한 후 아동도서 판매점인 B서적을 차려 도서판매 사업을 시작했다. 동료였던 김씨도 같은해 11월 A사를 나온 다음 B서적에서 일했다. 이 과정에서 김씨가 재직당시 따로 저장해 둔 고객정보 자료를 가져와 임씨와 함께 영업에 활용하자 A사는 소송을 냈다.

지난 7월 발생한 KT 고객 개인정보 유출사건의 피해자 2만4000명이 120억원 규모의 집단소송을 냈다. 27일 법조계에 따르면 이들은 최근 "KT의 과실로 정보가 유출돼 사생활 침해 등의 피해를 입었으니 1인당 50만원씩을 지급하라"며 KT를 상대로 손해배상청구소송(2012가합81628)을 서울중앙지법에 냈다. 원고들은 "KT는 고객정보 유출을 방지해야 할 의무가 있는데도 기술적 보호조치를 제대로 이행하지 않았다"며 "고객정보의 관리 소홀로 생긴 손해를 배상할 책임이 있다"고 주장했다. 이 소송을 대리하고 있는 법무법인 평강 관계자는 "현재 3000명 규모의 2차 소송인단을 모집을 완료했고 3차 소송인단을 모집하고 있다"며 "다음 달 중 추가 소송을 낼 계획"이라고 밝혔다. 평강은 소송비용으로 100원만 받고 소송에 참여할 피해자를 모았다. 이번 정보유출 사건의 피해자는 800만명이 넘는 것으로 추산된다. 일부 변호사들이 인터넷 포털사이트를 중심으로 피해자 모임을 개설해 소송인단을 모집하고 있어 앞으로 KT를 상대로 한 손해배상 소송규모는 더 커질 것으로 보인다.

법원이 고객 개인정보를 무단으로 유출한 SK브로드밴드는 정보 유출 피해자 3370명에게 1인당 10만원 또는 20만원씩 총 6억6270만원을 배상하라고 판결했다. 서울중앙지법 민사22부(재판장 지상목 부장판사)는 26일 인터넷 서비스 업체인 SK브로드밴드의 가입자 3749명이 회사를 상대로 낸 손해배상청구소송(2008가합63227 등)에서 원고일부승소 판결했다. 재판부는 우선 정보 수집 동의 자료가 전혀 없는 원고들과 관련해서는 "원고들에게 개인정보 수집·이용에 관한 동의를 얻었다는 점은 피고가 입증해야 하는데도 이에 관한 아무런 증거가 없다"며 "원고들의 동의 없이 개인정보를 수집해 이를 취급 위탁 형태로 외부에 제공했다고 할 것이므로 원고들의 개인정보자기결정권을 침해하였다고 봄이 타당하다"고 밝혔다. 재판부는 이어 동의 양식을 작성하기 전에 개인정보가 유출된 원고들에 대해서도 "원고들이 서비스 개통 확인과는 별도로 자신의 개인정보 수집·이용에 관한 동의를 구하고 있다는 점을 인식하고서 고객 확인란에 서명했다고 보기 어렵다"며 "고객으로서는 서비스의 이용 목적 외에 피고가 다른 상품과 부가서비스 및 신용카드 가입 유치를 위해 개인정보를 외부에 제공할 것이라는 점을 예상하기 어렵다"고 설명했다. 개인정보 수집·이용에 유효한 동의를 했지만 새로운 수탁자에게 취급 위탁을 하면서 별도의 동의절차를 거치지 않은 원고들에 대한 손해배상 책임도 인정했다. 재판부는 "피고가 수탁자 및 그 취급 위탁 업무의 내용을 알리면서 원고들로부터 동의를 받았다는 사실을 인정할 증거가 없는 이상, 피고는 동의 없이 원고들의 개인정보를 새로운 수탁자에게 제공한 점이 인정된다"고 판단했다. 다만, 재판부는 손해배상액과 관련해서는 원고에 따라 위자료 액수를 달리했다. 개인정보 수집·이용에 관한 동의를 받지 않은 채 또는 동의를 받기 전에 개인정보를 외부에 제공한 원고들은 20만원씩, 동의를 받았지만 그 후 새로운 수탁자에게 취급 위탁을 하면서도 개정된 정보통신망법에 따른 동의절차를 거치지 않은 원고들은 10만원씩 인정됐다. 하지만 재판부는 개인 정보가 유출된 사실이 없는 원고들의 청구는 권리침해가 없다는 이유로 기각했다. 서울지방경찰청 사이버수사대는 지난 2008년 SK브로드밴드가 2006~2007년 초고속인터넷서비스에 가입한 고객 600만명의 개인정보를 텔레마케팅업체 등 협력업체에 무단으로 유출했다며 전·현직 임직원 20여명을 불구속 입건했다. 이에 SK브로드밴드 가입자 3749명은 "정보가 유출돼 원치 않는 스팸전화와 문자 등으로 정신적 피해를 입었다"며 소송을 냈다. 한편 같은 재판부는 지난달 29일에도 SK브로드밴드 가입자 2만573명이 회사를 상대로 낸 손해배상청구소송에서도 같은 판결을 내린 바 있다.

1,100만명이 넘는 사람들의 주민등록번호와 주소, 전화번호 등이 유출돼 사상 최대 규모의 개인정보유출사고로 기록됐던 'GS칼텍스 회원정보유출' 사건에서 법원이 GS칼텍스의 손을 들어줬다. 이번 판결은 관련정보가 시중에 유통되지 않은 만큼 실질적 피해는 없었다는 취지의 판결로 향후 상급심의 최종판단이 주목된다. 서울중앙지법 민사31부(재판장 황적화 부장판사)는 지난 16일 김모씨 등 2만8,000여명이 "'회원정보유출' 사건으로 피해를 봤다"며 GS칼텍스와 자회사 GS넥스테이션을 상대로 낸 손해배상 청구소송(2008가합88370 등)에서 원고패소 판결을 내렸다. 재판부는 판결문에서 "GS칼텍스 등에 책임을 지우려면 개인정보가 불특정 다수에게 공개돼 타인이 이를 열람하거나 수집·이용할 위험이 인정돼야 한다"며 "하지만 관련 정보들은 수사초기에 압수되거나 폐기돼 개인정보 자기결정권이 실질적으로 침해됐다고 인정하기 어렵다"고 밝혔다. 재판부는 이어 "피해자 입장에서는 정보가 유포될 수 있다는 불안감을 지닐 수 있겠지만, 수사기관이 자료를 즉시 압수하는 등의 조치를 한 사건 경위에 비춰볼 때 위자료를 지급할 만큼의 정신적 손해가 발생했다고는 볼 수 없다"고 덧붙였다. 지난 2008년7월 GS넥스테이션의 직원이던 정모씨는 집단소송을 의뢰받은 변호사 등에게 고객정보를 판매하기 위해 회사 서버에 몰래 접속해 보너스카드회원 1,151만7,125명의 성명과 주민등록번호, 주소, 전화번호, 이메일 주소 등을 내려받은 뒤 DVD에 복사해 몇몇 지인에게 건넸다. 정씨를 비롯해 유출에 관여한 5명은 해당 DVD의 판매가치를 높이기 위해 "쓰레기 더미에서 고객정보가 담긴 DVD를 주웠다"며 몇몇 언론사들과 접촉해 사회 이슈화를 시도했지만 경찰수사과정에서 들통났고 DVD는 압수되거나 폐기됐다. 정씨 등은 이후 정보통신망이용촉진 및 정보보호 등에 관한 법률 위반혐의로 기소돼 실형이나 집행유예가 확정됐다. 그러나 당시 정보가 유출된 김씨 등은 "GS칼텍스가 서버 내 개인정보를 이동저장장치에 내려받게 할 정도로 보안관리를 허술하게 해 피해를 봤다"며 1인당 100만원 안팎의 위자료를 청구하는 소송을 냈다.