2012년 KT 고객 개인정보 유출 사고에 대해 KT는 손해배상 책임이 인정되지 않는다고 대법원이 최종 판단했다. 대법원 민사1부(주심 권순일 대법관)는 28일 강모씨 등 정보유출 피해자 342명이 KT를 상대로 낸 손해배상 청구소송 상고심에서 원고패소 판결한 원심을 확정했다(2017다207994). 2012년 7월 발생한 'KT 개인정보 유출 사고'는 해커에 의해 KT 가입자 870만명의 개인정보가 무분별하게 유출된 사건이다. 2명의 해커가 고객정보를 몰래 조회할 수 있는 프로그램을 만들어 이름과 주민등록번호를 비롯해 휴대전화 가입일, 고객번호, 사용 요금제, 기기 변경일 등의 개인정보를 빼낸 것으로 드러났다. 이에 피해자들은 KT의 관리·감독 부실로 개인정보가 유출됐다며 1인당 50만원을 배상하라고 소송을 냈다. 앞서 1심은 "KT는 사내 통신망의 ID와 비밀번호, 사용자 계정에 대한 관리를 소홀히 했고, 망 내 데이터베이스에 주민등록번호와 같은 중요 정보도 암호화하지 않고 저장했다"며 "피해자에 10만원씩 배상하라"고 밝혔다. KT의 책임을 일부 인정한 것이다. 그러나 항소심은 "KT가 개인정보 유출방지에 관한 기술적·관리적 보호조치를 이행하지 않은 과실로 인해 사고가 발생했다고 보기 어렵다"며 KT에 책임이 없다고 판단했다. 대법원은 2심 판단이 옳다고 봤다. 한편, 같은 재판부는 이날 또 다른 피해자 100명이 KT를 상대로 같은 취지로 낸 손해배상 청구소송 상고심에서는 원고일부승소한 원심을 깨고 패소 취지로 사건을 서울중앙지법에 돌려보냈다(2017다256910). KT에 정보유출 책임을 물을 수 없다는 취지다. 대법원 관계자는 "정보통신서비스 제공자가 개인정보보호를 위한 법률상 또는 계약상 의무를 위반하였는지를 판단할 때에는 해킹으로 인한 침해사고의 경우 당시 일반적으로 알려져 있는 정보보안 기술 수준과 서비스업체가 취한 보안조치, 해킹기술, 보안기술 발전 등을 종합적으로 고려해야 한다는 것을 다시 한번 확인한 판결"이라고 설명했다.

지난 2014년 발생했던 카드사 고객정보 대량 유출사태의 피해자들이 카드사로부터 10만원씩 배상받게 됐다. 서울중앙지법 민사22부(재판장 박형준 부장판사)는 22일 이모씨 등 2306명이 ㈜KB국민카드와 신용정보회사 코리아크레딧뷰로(KCB)를 상대로 "1인당 20만원씩 지급하라"며 낸 손해배상청구소송(2014가합513860)에서 "이씨 등에게 1인당 10만원씩을 배상하라"며 원고일부승소 판결했다. 또 박모씨등 2212명이 ㈜KB국민카드와 KCB를 상대로 낸 소송(2014가합511970)과 고모씨 등 142명이 농협은행을 상대로 낸 소송(2015가합532332), 강모씨 등 545명이 농협은행을 상대로 낸 같은 소송(2014가합563384)에서도 "피해자들에게 1인당 10만원씩 배상하라"고 판결했다. 재판부는 판결문에서 "주민번호 등 사생활과 밀접한 정보가 유출됐으며 일부는 여전히 회수가 안 돼 앞으로도 제3자가 열람할 가능성이 크다"며 "사회적 통념에 비춰 피해자들에게 정신적 고통이 발생한 점이 인정된다"고 밝혔다. 이어 "카드회사는 개인정보보호법상 의무를 위반해 고객의 개인정보가 유출된 원인을 제공했으며, KCB도 직원에 대한 감독 의무를 다하지 못했다"며 "카드회사와 신용정보회사에게 배상책임이 인정된다"고 설명했다. 2014년 초 KB국민카드 등 카드사에서 1억건이 넘는 고객정보가 유출되는 사고가 발생했다. KCB 직원이 카드사 시스템 개발 과정에서 보안프로그램이 설치되지 않은 PC로 개인정보를 빼돌리다가 발생한 일이었다. 유출된 개인정보는 상당수 회수·폐기됐지만 일부는 대출중개업체 등에 넘어가 전화영업 등에 쓰였다. 이에 피해자들은 정신적 고통을 배상하라며 잇따라 소송을 냈다.

지난 2012년 가입자 개인정보 유출 사고를 일으킨 한국통신(KT)이 피해자 수만명에게 10만원씩 위자료를 지급해야 할 처지에 놓였다. 서울중앙지법 민사32부(재판장 이인규 부장판사)는 22일 피해자 2만8715명이 KT를 상대로 낸 손해배상 청구소송(2012가합81628)에서 "원고 1인당 10만원씩 총 28억 7000여만원을 지급하라"며 원고일부승소 판결했다. 재판부는 판결문에서 "KT는 사내 통신망의 ID와 비밀번호, 사용자 계정에 대한 관리를 소홀히 했다"며 "유출된 개인정보가 제3자인 정보유출자들에게 열람됐을 가능성이 높고, 추가 복제 및 2차 유출가능성을 배제할 수 없으므로 개인정보의 확산 가능성이 남아있어 위자료를 지급해야 한다"고 밝혔다. 재판부는 "실제 피해가 발생했다거나 원고들이 받은 스팸메시지 등이 이 사건 정보유출사고로 비롯됐다는 점이 분명하게 입증되지는 않았지만, 수많은 텔레마케팅, 스팸메시지 등을 추적해 정보유출사고가 원인이었는지를 밝히는 것은 사실상 불가능하다는 사정을 위자료 산정에 참작한다"고 설명했다. 또 "피해자들은 정보유출로 스팸메일, 스팸메시지의 대상이 되고 전화금융사기와 같은 범죄에 노출됐다는 사실로 불안감을 안게 됐고 KT가 정보유출사고 이후 사과문을 게재하고 정보유출 확인을 할 수 있도록 조치를 취한 것 외에는 별다른 보상조치를 취하지 않은 것도 고려했다"고 덧붙였다. 경찰청은 지난 2012년 7월 KT 가입자 870만명의 개인정보가 무분별하게 유출된 사실을 확인했다. 해커 2명이 고객정보를 몰래 조회할 수 있는 프로그램을 만들어 이름과 주민등록번호를 비롯해 휴대전화 가입일, 고객번호, 사용 요금제, 기기 변경일 등의 개인정보를 빼낸 것으로 드러났다. 피해자들은 "KT의 관리·감독 부실로 개인정보가 유출됐으니 1인당 50만원의 손해배상금을 지급하라"며 소송을 냈다. 아직 소송을 제기하지 않은 피해자들도 소멸시효가 완성되는 2015년 12월 이전까지는 소송을 낼 수 있다. KT는 이번 판결에 불복해 즉각 항소 의사를 밝혔다. KT는 보도자료를 통해 "당시 사고는 법령에서 정한 보안 사항을 준수한 상황에서 발생한 불가항력적인 사고였고, 회사 보안조치가 적법했음을 항소심에서 재소명하겠다"고 밝혔다.

최근 일부 신용카드 회사에서 역대 최대의 고객 개인정보 유출사건이 발생해 집단소송 움직임이 일고 있다. 유출된 개인정보 중 절반 이상이 주민등록번호, 대출거래내용, 신용카드 승인명세 등 중요 신용정보인 것으로 드러나 피해 규모도 커 손해배상금액도 기하급수적으로 늘어날 것이라는 전망도 나오고 있다. 최근 개인 신용평가회사 코리아크레딧뷰로(KCB)의 차장급 직원 박모(40)씨는 KB국민·롯데·NH농협카드사 등에 외부협력업체 직원으로서 파견을 나갔다가 카드사의 회원 정보 1억 400만건을 자신이 가져간 USB에 담아온 혐의로 구속 기소됐다. 검찰에 따르면 박씨는 빼낸 정보를 제3자에게 돈을 받고 넘긴 것으로 알려졌다. 사고 소식이 알려지자 네이버나 다음 등 주요 포털사이트에는 관련 카페가 속속 만들어지고 있다. 또 KT 정보유출 사고 등과 관련해 과거 카페를 운영하던 변호사들도 기존 카페에 글을 올려 신용카드 정보유출 소송에 참가할 것을 권유하고 있다. 법원은 회원정보 유출과 관련해 회사 측의 책임을 인정하기 위해서는 '정보가 관리자의 통제 범위를 벗어나 유출될 것'과 '유출된 정보가 제3자에 노출될 수 있는 위험성이 인정될 것' 등 두가지 요건을 갖추어야 한다고 밝히고 있다. 대법원은 지난 2012년 12월 GS칼텍스 보너스카드 가입자 7675명이 낸 손해배상 청구소송(2011다59834)에서 원고패소 판결한 원심을 확정하며 "회원의 정보가 저장매체로 옮겨져 보관 중에 모두 압수·폐기됐다"며 "개인정보 유출로 인한 피해가 발생했다고 볼 수 없다"고 밝혔다. 저장 매체에 옮겨진 것 만으로는 유출이 아니라고 판단한 것이다. 이번 사건도 USB에 옮겨진 점만 인정된다면 회사의 배상책임을 인정하기는 어렵다. 그러나 제3자에게 돈을 받고 정보를 넘긴 사실이 확인되면 정보가 위험에 노출됐다고 볼 수도 있다. 또 신용카드 회사의 책임을 어디까지 인정할 것인지도 따져봐야 한다. 법원은 해킹으로 인한 정보유출 사례에 대해서는 회사가 정보 유출 방지에 충분한 노력을 다 했다면 주의의무를 다했다고 보고 있다. 그러나 이번 개인정보 유출 사고는 외부직원이 USB에 간단히 정보를 담아가, 카드 회사들이 정보 관리에 소홀했다는 지적이 나온다. 이 때문에 기존의 '해킹사례'보다 회사측의 책임을 인정하는 것이 쉬울 것이라는 전망도 나온다. 박진식 법무법인 넥스트로 변호사는 "해킹 기술은 막는 데 한계가 있다고 항변할 수 있지만 이번 사건은 과연 카드사가 정보 통제를 엄격하게 했느냐를 두고 책임을 면하기가 쉽지 않을 것"이라고 말했다. 유출된 정보가 민감한 개인정보를 담고 있는 것이 확인됨에 따라 배상액수에도 관심이 집중되고 있다. 실제로 유출 사건이 발표된 후 인터넷 커뮤니티 사이트마다 '스팸 문자가 늘었다'는 내용의 글들이 많이 올라오고 있다. 법무법인 평강의 최득신 대표변호사는 "개인정보가 1회 이상 유출됐다면 그 밑에는 파생된 피해가 엄청날 것으로 예상된다"며 "박씨가 금전거래를 통해 정보를 유출한 만큼 손해배상금액도 기하급수적으로 늘어날 수 있다"고 말했다. 반면 유철민 변호사는 "정보가 어느정도 퍼졌느냐에 따라 다르겠지만 피해 입증이 쉽지 않아 손해배상을 받는다고 해도 소액일 것"이라며 "기소된 관계자들이 정보 활용 방법을 구체적으로 공개하지 않는 한 구체적인 피해 입증은 어렵다"고 말했다.

지난 7월 발생한 KT 고객 개인정보 유출사건의 피해자 2만4000명이 120억원 규모의 집단소송을 냈다. 27일 법조계에 따르면 이들은 최근 "KT의 과실로 정보가 유출돼 사생활 침해 등의 피해를 입었으니 1인당 50만원씩을 지급하라"며 KT를 상대로 손해배상청구소송(2012가합81628)을 서울중앙지법에 냈다. 원고들은 "KT는 고객정보 유출을 방지해야 할 의무가 있는데도 기술적 보호조치를 제대로 이행하지 않았다"며 "고객정보의 관리 소홀로 생긴 손해를 배상할 책임이 있다"고 주장했다. 이 소송을 대리하고 있는 법무법인 평강 관계자는 "현재 3000명 규모의 2차 소송인단을 모집을 완료했고 3차 소송인단을 모집하고 있다"며 "다음 달 중 추가 소송을 낼 계획"이라고 밝혔다. 평강은 소송비용으로 100원만 받고 소송에 참여할 피해자를 모았다. 이번 정보유출 사건의 피해자는 800만명이 넘는 것으로 추산된다. 일부 변호사들이 인터넷 포털사이트를 중심으로 피해자 모임을 개설해 소송인단을 모집하고 있어 앞으로 KT를 상대로 한 손해배상 소송규모는 더 커질 것으로 보인다.

지난달 28일 네이트와 싸이월드에 대한 해킹사실이 알려지면서 개인정보 유출 집단소송 커뮤니티가 급증하고 있다. 해킹 피해자가 3500만명에 이르기 때문에 소송에 대한 관심은 계속 높아지는 상황이다. 소송과 관련해 위자료와 재산상 손해배상 가운데 무엇을 청구할 것인지, 업체의 과실은 무엇을 기준으로 판단할 것인지, 주민번호 보유도 과실인지 하는 점 등이 쟁점이 될 것으로 보인다. 소송을 준비하는 측은 부실한 보안관리가 원인이므로 SK커뮤니케이션즈에 배상책임이 인정된다고 주장하고 있지만, SK커뮤니케이션즈가 해킹 방지가 현재의 기술력으로 불가능했다는 점을 입증할 경우 승소 가능성을 점치기 어려운 상황이다. ◇ 집단 소송 카페 봇물= 네이트와 싸이월드 정보유출 후 네이버와 다음 등 포털 사이트에는 한 달여 사이 20개가 넘는 네이트 개인정보 유출 집단소송 준비 카페가 개설됐다. 200~300명 내외의 소규모 카페도 있지만 일부는 이미 회원 수가 8만명을 넘는 것으로 알려졌다. 대부분의 까페가 1만~2만원의 소송비용을 공지하고 있는 것을 감안하면 모든 회원이 소송에 참여할 경우 해당 변호사는 산술적으로는 8억원의 수임료를 받을 수 있는 상황이다. ◇ "지급명령은 법적으로 의미 없어"= 개별적인 손해배상 청구소송은 이미 시작됐다. 지난달 29일 A모(40) 변호사가 "300만원을 지급하라"며 서울중앙지법에 첫 손해배상청구소송(2011가소1956930)을 제기한 바 있고, 서울중앙지법은 B모(25)씨가 지난 1일 SK컴즈를 상대로 낸 지급명령 신청에 대해 12일 100만원의 지급명령을 내린 바 있다. 이에 대해 서초동의 K변호사는 "지급명령은 신청자의 신청 내용 그대로 법원이 명령을 내리는 제도인데다 2주 안에 상대방이 이의를 제기하면 확정이 되지 않기 때문에 큰 의미는 없다"고 지적했다. SK컴즈는 지급 거부 의사를 밝혀 배상책임 유무는 본안소송에서 판가름 날 전망이다. ◇ 위자료·재산상 손해배상은=정보유출과 관련해 먼저 문제가 되는 것은 손해배상의 종류다. 만약 정신적 피해를 구하는 위자료를 청구할 경우 법원은 정액으로 150~200만원 정도로 인정할 가능성이 높지만, 재산상 손해의 경우 입증이 어렵다는 점에서 피해자측 소송대리인이 재산상 손해배상을 청구할 가능성은 낮아 보인다. ◇ '당대의 기술수준'으로 해킹 방어 가능한가= 다음으로 문제가 되는 것은 관리자로서 SK컴즈의 과실 성립 여부다. 형사사건과 달리 민사소송에서 과실여부는 무거운가 가벼운가를 따지지 않기 때문에 소송 진행과정에서 과실의 성립여부 자체를 놓고 다투게 될 전망이다. 이에 대해 IT 분야 전문가인 C변호사는 "정보유출이 해킹으로 인한 것이라고 가정한다면 관리자가 충분한 암호화 기술을 사용했는지, 서버의 방화벽이 제대로 구축돼 있는지가 쟁점이 된다"고 말했다. 암호화 기술이 충분하다면 유출된 개인정보가 안전할 것이고, 서버의 방화벽이 충분히 구축돼 있었다면 통상적 해킹기술로는 해킹이 불가능하기 때문이다. C변호사는 이어 "결국 당대 최고수준의 기술적·경제적 조치를 취했느냐가 쟁점이고, 피해자측은 충분한 보안조치가 없었다는 점을, 업체측은 더 이상의 보안방법은 없었다는 점을 입증하려 할 것"이라고 예상했다. ◇ 주민번호 보유도 과실인가= 업체가 필요하지 않은 개인정보를 보유하고 있었던 것은 아닌지 하는 점도 쟁점이다. 하지만 법령상 주민번호 보유가 금지된 것은 아니기 때문에 관리자의 과실로 평가되기는 어려울 전망이다. 법령에서 아이핀(i-PIN)의 사용을 권고하고 있기는 하지만 업체로서는 주민번호를 삭제할 의무가 있는 것은 아니다. 소송 진행과정에서는 SK컴즈 측은 앞으로의 보호방안 대책을 내세우며 이 문제를 피해갈 것으로 보인다. ◇ 소송 전망은= 개인정보 유출과 관련해서는 법원의 판결이 엇갈리고 있기 때문에 결과를 예측하기는 힘들다. 법원은 2008년 옥션의 개인정보 유출 사건에 대해 옥션의 피해배상 책임을 인정하지 않은 바 있다. 이러한 전례에 비춰보면 피해자들로서는 업체측의 과실을 통상적인 손해배상소송과 마찬가지 수준으로 입증하기 어려울 수도 있다. 이에 대해 C변호사는 "법원이 과실인정 요건을 완화하고 10만~20만원 정도의 소액의 손해배상액을 인정할 가능성도 있다"고 조심스럽게 예측했다.

인터넷 오픈마켓 옥션의 정보유출 손배소송에서 피해 회원들이 패소했다. 서울중앙지법 민사21부(재판장 임성근 부장판사)는 14일 옥션 회원 간모씨 등 14만6,601명이 "해킹으로 인한 개인정보유출로 피해를 입었다"며 (주)이베이옥션과 인포섹(주)를 상대로 낸 손해배상 청구소송(2008가합31411 등 13건)에서 "옥션이 취한 보안조치 내용을 볼 때 과실을 인정하기 어렵다"며 원고패소 판결을 내렸다. 재판부는 판결문에서 "정보통신서비스 제공자가 이용자의 개인정보를 해킹으로 도난당했을 때 손해배상책임을 지우기 위해서는, 정보통신서비스제공자가 해킹사고를 방지하기 위해 선량한 관리자로서 취해야 할 기술적·관리적 조치의무를 위반함으로써 해킹사고를 예방하지 못한 경우여야 한다"고 밝혔다. 재판부는 이어 "옥션과 옥션의 보안관리를 담당한 인포섹이 근본적으로 해킹을 막지 못한 아쉬움이 일부 있기는 하다"면서도 "해킹 사고 당시 옥션이 취하고 있던 각종 보안조치의 내용, 해킹방지기술의 발전상황 및 해킹의 수법 등 여러사정에 비춰보면, 옥션 등에게 민법상 불법행위에 해당하는 과실이 있다고 보기 어렵고, 구 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 등 관련법령에 위반된 사실도 없다"고 덧붙였다. 재판부는 또 옥션이 해킹을 막기위해 필수적인 웹방화벽을 설치하지 않았다는 원고측 주장에 대해서는 "웹방화벽은 시스템의 특성 등을 고려해 도입여부가 결정되는 선택적인 보안조치의 하나에 불과하고, 관련 법령상으로도 웹방화벽의 설치가 의무화돼 있지도 않다"며 받아들이지 않았다. 재판부는 다만 "판결과는 별도로 옥션의 경우 법적인 책임은 없다고 하더라도 기업의 도의적, 사회적 책임을 진다는 차원에서 개인정보가 유출된 회원들에 대한 특전의 부여 등 적절한 조치를 하는 것이 바람직하다"고 지적했다. 피고 이베이옥션의 대리인인 김앤장의 황정근 변호사는 "과거 발생한 기업의 고의 또는 과실로 인한 개인정보 유출사건은 있었으나, 이번 사건은 해킹의 피해자인 기업이 역시 같은 피해자인 회원들로부터 손해배상소송을 당한 첫 사례"라며 "재판부가 세운 기준은 앞으로 유사한 사건에서 선례로 작용할 것으로 보인다"라고 말했다. 2008년1월께 중국 해커들에 의해 옥션 사이트가 해킹돼 회원 약 1천만명의 주민등록번호를 포함한 개인정보가 유출되자, 피해자들은 수백∼수천 명 단위로 소송을 제기해 총 14만6천여명이 총 30여건의 손해배상소송을 냈다.

인터넷복권 구매 안내 메일을 발송하면서 메일발송 대상인 고객들의 명단과 신상정보가 담긴 파일을 함께 첨부한 국민은행측에 개인정보 유출 피해를 입은 고객들에게 각 20만원씩 손해를 배상하라는 판결이 나왔다. 서울고법 민사9부(재판장 이인복 부장판사)는 27일 김모씨 등 신상정보가 유출된 1,026명이 국민은행을 상대로 낸 손해배상소송 항소심(2007나33059)에서 "실명과 주소, 주민등록번호가 유출된 피해자들에게 각 20만원, 이메일이 유출된 피해자들에게는 각 10만원을 지급하라"며 원고 일부승소판결을 내렸다. 국민은행은 지난해 3월 자사 인터넷복권 통장 가입고객 중 접속 빈도가 낮은 3만2,277명에게 인터넷복권 구매 안내메일을 발송하면서 발송 대상인 고객들의 신상정보가 담긴 파일을 첨부해했다. 재판부는 정보가 유출된 고객들에게 직접적인 재산상의 손해가 없더라도 정보유출로 인해 입은 정신적 고통에 대한 위자료를 배상해야 한다고 보았다. 한편 1심은 이름과 주소, 주민등록번호가 유출된 1024명에게는 각 10만원, 이메일이 유출된 2명에게는 각 7만원씩 배상하라고 판결을 내렸었다.