회사가 개인정보 보호조치를 하지 않아 누구든지 이용자의 개인정보 등을 열람하거나 내려받을 수 있도록 했더라도 실제 개인정보 분실이나 도난, 누출 등이 이뤄지지 않았다면 처벌 할 수 없다는 판결이 나왔다. 현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제28조는 정보통신서비스 제공자 등이 개인정보를 취급할 때 개인정보 분실, 도난 등을 방지하기 위해 기술적·관리적 조치를 해야 한다'고 규정하고 있다. 이를 어기면 2년 이하의 징역 또는 1000만원 이하의 벌금을 받게 된다. 대전지법 형사8단독 차주희 판사는 지난달 18일 개인정보 누출 방지를 위한 조치를 하지 않은 혐의로 기소된 보험판매회사 개인정보 총괄 관리책임자 A(40)씨에게 무죄를 선고했다(2014고정1905). 차 판사는 판결문에서 "A씨가 개인정보 누출을 방지하기 위한 기술적·관리적 조치를 하지 않았더라도, 그로 인해 이용자의 개인정보가 분실·도난·누출·변조 또는 훼손되지 않은 이상 개인정보 보호조치를 하지 않았다는 이유로 처벌할 수 없다"고 밝혔다. A씨가 근무하는 회사는 지난해 3월 회사 홈페이지 '사원 게시판'에 회사를 통해 보험 계약을 한 135명의 이름과 연락처, 증권번호 등 개인정보가 기록된 문서파일을 올렸다. 그런데 이 게시판은 인터넷 검색 사이트를 통해 누구나 입장이 가능하고, 파일도 내려받을 수 있었다. 검찰은 "개인정보 누출을 방지하기 위한 조치를 하지 않았다"며 책임자인 A씨를 기소했다.

인터넷 오픈마켓 옥션의 정보유출 손배소송에서 피해 회원들이 패소했다. 서울중앙지법 민사21부(재판장 임성근 부장판사)는 14일 옥션 회원 간모씨 등 14만6,601명이 "해킹으로 인한 개인정보유출로 피해를 입었다"며 (주)이베이옥션과 인포섹(주)를 상대로 낸 손해배상 청구소송(2008가합31411 등 13건)에서 "옥션이 취한 보안조치 내용을 볼 때 과실을 인정하기 어렵다"며 원고패소 판결을 내렸다. 재판부는 판결문에서 "정보통신서비스 제공자가 이용자의 개인정보를 해킹으로 도난당했을 때 손해배상책임을 지우기 위해서는, 정보통신서비스제공자가 해킹사고를 방지하기 위해 선량한 관리자로서 취해야 할 기술적·관리적 조치의무를 위반함으로써 해킹사고를 예방하지 못한 경우여야 한다"고 밝혔다. 재판부는 이어 "옥션과 옥션의 보안관리를 담당한 인포섹이 근본적으로 해킹을 막지 못한 아쉬움이 일부 있기는 하다"면서도 "해킹 사고 당시 옥션이 취하고 있던 각종 보안조치의 내용, 해킹방지기술의 발전상황 및 해킹의 수법 등 여러사정에 비춰보면, 옥션 등에게 민법상 불법행위에 해당하는 과실이 있다고 보기 어렵고, 구 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 등 관련법령에 위반된 사실도 없다"고 덧붙였다. 재판부는 또 옥션이 해킹을 막기위해 필수적인 웹방화벽을 설치하지 않았다는 원고측 주장에 대해서는 "웹방화벽은 시스템의 특성 등을 고려해 도입여부가 결정되는 선택적인 보안조치의 하나에 불과하고, 관련 법령상으로도 웹방화벽의 설치가 의무화돼 있지도 않다"며 받아들이지 않았다. 재판부는 다만 "판결과는 별도로 옥션의 경우 법적인 책임은 없다고 하더라도 기업의 도의적, 사회적 책임을 진다는 차원에서 개인정보가 유출된 회원들에 대한 특전의 부여 등 적절한 조치를 하는 것이 바람직하다"고 지적했다. 피고 이베이옥션의 대리인인 김앤장의 황정근 변호사는 "과거 발생한 기업의 고의 또는 과실로 인한 개인정보 유출사건은 있었으나, 이번 사건은 해킹의 피해자인 기업이 역시 같은 피해자인 회원들로부터 손해배상소송을 당한 첫 사례"라며 "재판부가 세운 기준은 앞으로 유사한 사건에서 선례로 작용할 것으로 보인다"라고 말했다. 2008년1월께 중국 해커들에 의해 옥션 사이트가 해킹돼 회원 약 1천만명의 주민등록번호를 포함한 개인정보가 유출되자, 피해자들은 수백∼수천 명 단위로 소송을 제기해 총 14만6천여명이 총 30여건의 손해배상소송을 냈다.

최근 사회적 논란을 일으킨 하나로텔레콤의 고객 600만명 개인정보 유출사건과 관련, 첫 집단소송이 제기됐다. 하나로텔레콤 고객으로 가입했다가 개인정보유출 피해를 당한 30명은 28일 “악의적인 정보유출로 인한 정신적 위자료로 각 피해자에게 100만원씩 총 3,000여만원을 지급하라”며 회사와 국가를 상대로 손해배상청구소송(2008가단151554)을 서울중앙지법에 냈다. 원고들은 소장에서 “정보통신서비스제공자는 이용자의 개인정보를 취급함에 있어 개인정보가 분실·도난·누출 또는 훼손되지 않도록 안전성 확보에 필요한 기술적·관리적 조치를 해야 한다”며 “하나로텔레콤은 개인정보가 누출되지 않도록 주의를 다했어야 함에도 불구하고 오히려 고객들의 개인정보에 해당하는 성명, 주민등록번호, 계좌번호 등을 회사 차원에서 영리를 목적으로 제3자에게 무단판매한 것은 위법한 것”이라고 주장했다. 원고들은 또 “국가의 정보통신부 소속공무원은 이번 사건과 관련해 하나로텔레콤에 대한 관리감독을 소홀히 했을 뿐만 아니라 심지어는 이번 사태 이후 도움을 주려 했다”며 “국가가 개인정보를 관리하는 업체를 철저히 감독해 법을 준수하게끔 했어야 함에도 오히려 이번 사건을 방조했다”고 주장했다. 원고들은 이어 “유사한 다른 사건들의 경우 회사직원들의 과실에 의해 피해가 발생한 반면, 이번 사건은 하나로텔레콤이 고의적 조직적으로 관련됐다”며 “고객의 정보를 돈을 받고 판매해 형사입건까지 되는 등 다른 사건들에 비해 불법성이 현저히 높은 만큼 위자료 액수도 보다 높게 산정해야 한다”고 주장했다. 원고들은 경찰수사결과 하나로텔레콤이 2006년 1월부터 2년간 가입자 600만명의 성명·주민번호·주소·전화번호 등 개인정보를 전국 1,000여개 텔레마케팅 업체에 제공했다는 혐의가 드러나자 손해배상 소송을 냈다.