G마켓이 해외 보안업체를 상대로 광고 클릭 데이터 유실에 따른 손해배상 청구 소송을 제기했지만 패소했다. 서울중앙지법 민사45부(재판장 김경수 부장판사)는 지난달 G마켓이 라드웨어코리아와 제이티시스템즈를 상대로 제기한 손해배상 소송에서 원고패소 판결했다(2021가합592311). 오픈마켓을 운영하는 ‘G마켓’은 마켓에 게시되는 제품의 광고료가 매출이다. 광고료 수입은 광고 클릭 수와 단가에 따라 산정된다. 이에 따라 G마켓은 광고 클릭 데이터와 서버를 보호하기 위한 보안 시스템을 구축해 왔다. G마켓은 2013년 라드웨어 본사가 제조한 보안장비 제품을 서버에 설치했다. 2017년에는 라드웨어 본사가 제조한 보안 제품을 제이티시스템즈로부터 공급받는 계약을 제이티시스템즈와 체결했다. 제이티시스템즈는 2017~2021년 G마켓 시스템에 대한 유지 보수 업무를 수행하기도 했다. 2021년 5월 G마켓은 대규모 할인 행사를 진행했다. 그런데 당시 사이트 방문자 수, 판매 매출이 크게 증가했는데도 광고 매출이 예상에 못미쳤다. 조사 결과 접속자가 광고를 클릭해도 데이터가 서버로 전달되지 않는 현상이 확인됐다. 광고 클릭 데이터의 URL 길이가 1236 bytes(바이츠)를 초과하는 경우 고객이 클릭한 URL 주소가 제대로 처리되지 않는 현상(URL 길이 제한)이 파악됐다. 같은 해 G마켓은 “라드웨어코리아와 제이티시스템즈가 공급한 보안 장비가 동작하면서 특정 URL을 처리하지 못하는 결함이 있었다. 이로 인해 광고 클릭 데이터가 누락돼 광고수수료 손해가 발생했다”며 약 16억 원을 배상하라고 주장했다. 재판부는 G마켓의 주장을 받아들이지 않았다. 재판부는 “이 사건 제품에 URL 길이 제한이 존재하는 것은 국제 표준 통신 규약 기준에 부합하도록 설계되었기 때문”이라며 “설계상 결함에 해당한다거나 그 밖에 통상적으로 기대되는 안정성이 결여됐다고 할 수 없다”고 판단했다. 또 “(사용자가 하나의 패킷에서) 실제로 전송 가능한 URL 길이는 대략 1200~1230 bytes 정도라는 점은 네트워크 보안 운영 담당자 등 업계 사람들에게 일반적으로 알려져 있는 내용으로 보인다”며 “URL의 길이는 G마켓과 같이 인터넷사이트를 운영하는 서비스제공자 측에서 설계하는 것”이라고 말했다. 이어 “(G마켓은) URL 데이터를 일정 bytes 이하로 설정함으로써 광고 클릭 데이터가 유실되는 문제를 회피할 수 있다”고 덧붙였다. 앞서 라드웨어코리아가 G마켓에 해당 문제를 보고했을 때, G마켓은 보완을 요청하지 않았고 관련 문제를 놓치고 있었다는 반응을 보였다는 점도 고려됐다. G마켓은 최근 제이티시스템즈를 상대로 항소했다. 라드웨어코리아에 대한 판결은 확정됐다. 라드웨어코리아를 대리한 법무법인 화우는 사건을 총괄한 이광욱(53·사법연수원 28기)·우수연(46·35기) 변호사·김명안 국제중재소송팀 팀장, 서울중앙지법 기술전문조사관 출신의 최홍석(46·변호사시험 1회) 변호사, 디도스에 대한 세부 검토를 맡은 박성현(31·10회) 변호사의 협업으로 승소를 이끌었다. 사건 대응을 함께하며 라드웨어 이스라엘 본사와 소통한 김명안 외국변호사(미국 캘리포니아주)는 “이스라엘 관습법 체계에 익숙한 의뢰인과의 정확한 소통, 국내 팀과의 공조 등이 성공적인 분쟁 해결의 발판이 됐다”며 “보안 소프트웨어 제품 하자 분쟁에 대한 국제적 선례가 마련된 점에 보람을 느낀다”고 했다.

이동통신사는 서비스 가입자에게 발신통화내역상 접속된 기지국의 주소를 제공할 의무가 없다는 대법원 판단이 나왔다. 대법원 민사1부(주심 김선수 대법관)는 지난 13일 김가연 변호사가 KT를 상대로 낸 공개청구소송에서 원고의 상고를 기각하고 원고패소 판결한 원심을 확정했다(2020다255245). 사단법인 오픈넷 상근변호사로 활동하던 김 변호사는 2016년 6월경 KT에게 KT가 수집·보유하고 있는 '통화·문자 상세내역(착신 전화번호, 통화일시, 사용도수, 기지국 정보)' 정보에 관해 열람을 신청했으나 KT는 해당 정보가 제3자의 정보이거나 수집·보유하고 있는 정보가 아니라는 이유로 거절했다. 이에 김 변호사는 KT를 상대로 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제30조 제2항 제1호 또는 이용계약에 따른 통화·문자 상세내역 정보를 공개하라는 소송을 제기했다. 당시 김 변호사는 "우리나라에서 개인정보열람청구권이 얼마나 실질적으로 보장되고 있는지 등을 알아보고고자 공익 목적으로 소송을 제기한다"고 밝혔다. 1심은 "KT는 개인정보 처리방침에 따라 통화·문자 상세내역 정보를 공개할 의무가 있다"고 판단해 KT의 개인정보 처리방침에 기한 공개 청구를 받아들였다. 다만 구 정보통신망법상 통화·문자 상세내역 정보는 개인정보에 해당한다고 보기 어려워 정보통신망법에 따른 공개 청구를 받아들이지는 않았다. 하지만 2심은 김 변호사의 청구를 기각했다. 1심 재판 중 KT가 김 변호사에게 발신통화 내역과 동 단위까지 표시된 기지국 주소를 제공했고, 이에 김 변호사는 2심에서 다른 정보는 요구 대상에서 제외하고 기지국 지번 주소 또는 허가번호를 공개하라는 취지로 청구를 변경했는데 2심에선 이 정보가 정보통신망법상 개인정보에 해당하지 않는다고 판단했다. 또 2심은 "김 변호사가 KT와 체결한 이동통신서비스 이용계약에는 김 변호사의 휴대전화가 발신했을 때 접속한 기지국 지번주소 또는 허가번호를 제공할 의무가 포함됐다고 보기 어렵다"며 이용계약에 따른 공개 청구도 받아들이지 않았다. 이에 김 변호사는 상고했으나 대법원은 받아들이지 않았다. 재판부는 "김 변호사의 휴대전화 단말기가 발신했을 때 접속한 기지국의 위치에 관한 정보는 김 변호사의 위치가 아닌 기지국의 위치에 관한 것으로서, 발신 기지국 위치만으론 휴대전화 단말기가 어느 위치에서 발신한 것인지를 알아내는 데 한계가 있다"며 "해당 정보는 구 정보통신망법상 개인정보에 해당한다고 보기 어렵다"고 밝혔다. 이어 "김 변호사와 KT가 체결한 이동통신서비스 이용계약에 KT가 김 변호사의 휴대전화가 발신했을 때 접속한 기지국 위치에 관한 주소를 제공할 의무가 있다는 내용이 포함됐다고 보기도 어렵다"고 설명했다.

구글이 미국 정보기관 등 제3자에 국내 이용자 정보를 제공한 내역을 공개해야 한다는 대법원 판단이 나왔다. 2심은 미국법이 비공개 의무를 부여한 부분은 구글이 공개를 거부할 수 있다고 봤다. 하지만 대법원은 이 부분도 종합적으로 검토해 공개 여부를 정해야 한다고 판단했다. 대법원 민사3부(주심 노정희 대법관)는 13일 구글 이용자 A 씨 등이 구글 인코퍼레이티드(구글)와 구글코리아를 상대로 낸 손해배상 등 청구소송(2017다219232)에서 원고 일부승소 판결한 원심 가운데 일부를 파기하고 사건을 서울고법으로 돌려보냈다. A 씨 등은 2014년 2월 구글 본사와 구글코리아에 사용자 정보를 제3자에게 제공한 내역을 공개하라고 요구했다. 하지만 구글 측이 구체적으로 답변하지 않았고, 재차 답변을 요청했으나 결국 답변을 받지 못하자 소송을 냈다. 앞서 1심은 미국 본사인 구글에게 비공개 의무가 있는 사항을 제외하고 현황을 공개하라며 원고 일부승소 판결했다. 2심도 원고 일부승소 판결하며, 구글이 비공개 사항을 제외한 개인정보 제공 현황을 공개할 의무가 있다고 봤다. 또 구글코리아에 대해서도 위치정보서비스와 위치기반서비스 관련 정보통신서비스 제공자이므로 열람·제공요구에 응해야 한다며 원고 측의 청구를 일부 인용했다. 하지만 대법원은 구글에 대한 원고 패소 부분을 파기환송했다. 비공개가 정당하다고 판단한 부분을 다시 심리하라는 취지다. 먼저 대법원은 "구글과 체결한 서비스 이용계약은 구 국제사법 제27조 제1항 제1호에 따른 소비자 계약이므로 원고들이 한국에 구글에 대한 소를 제기한 것은 전속적 재판관할합의에도 불구하고 적법하다"고 밝혔다. 구 국제사법 제27조의 '소비자 계약'은 전속적 재판관할합의 효력이 미치지 않는다. 외국법원에 소송을 제기하는 것에 어려움이 있는 소비자의 재판청구권을 실질적으로 보장하기 위해서다. 재판부는 비공개의무를 부여하는 외국법령이 존재하는 경우에 '정당한 사유'를 판단하는 기준과 이때 정보통신서비스 제공자등이 취해야 하는 조치에 대한 판단도 내놓았다. 재판부는 "대한민국 법령 외에 외국 법령도 준수해야 하는 정보통신 서비스 제공자 등이 그 외국 법령에서 해당 정보의 공개를 제한하고 있다는 등의 근거를 들어 열람·제공을 거부하는 경우, 외국 법령이 있다는 사정만으로 곧바로 정당한 사유가 존재한다고 볼 수는 없지만, 거부에 정당한 사유가 있는지를 판단할 때 외국 법령의 내용도 고려할 수 있다고 봐야 한다"며 "한국 법령 외에 외국 법령도 함께 준수해야 하는 지위에 있는 정보통신서비스 제공자 등이 구 정보통신망법 제30조 제4항에 따른 필요한 조치를 모두 이행했는지는 △외국법령에 따른 비공개의무가 한국 헌법, 법률 등의 내용과 취지에 부합하는지 △개인정보를 보호할 필요성이 비해 그 외국 법령을 존중해야 할 필요성이 현저히 우월한지 △해당 법령에서 요구하는 비공개요건이 충족되어 실질적으로 비공개의무를 부담하고 있는지 등을 종합적으로 고려해야 한다"고 판시했다. 그러면서 "정당한 사유가 있더라도 정보통신 서비스 제공자들은 그 항목을 구체적으로 특정해 제한·거절 사유를 통지해야 하고, 국가안보·범죄수사 등 사유로 외국 수사기관에 정보를 제공했더라도 그 사유가 종료되면 정보 제공 사실을 이용자에게 공개해야 한다"고 부연했다. 대법원 관계자는 "대한민국 법령 외에 외국 법령도 준수해야 하는 지위에 있는 정보통신서비스 제공자에게 그 외국법령에서 비공개의무를 부과하는 사항을 무조건 공개하도록 하는 것은 모순된 행위를 강요하는 것"이라며 "가혹하고 국제예양의 측면에서도 바람직하지 않다는 점을 감안해 그와 같은 외국법령을 정당한 사유의 판단 요소로 고려해야 한다는 법리를 설시하고, 그러한 법령의 존재 외에 정당한 사유를 인정하기 위해 필요한 구체적인 기준을 설시해 외국법적 요소가 있는 정보공개 사안에서 국가들 간 이익을 균형 있게 고려할 수 있도록 하는 방안을 제시한 판결"이라고 말했다.

방송 재승인 심사 과정에서 임직원들의 범죄 사실을 고의로 누락해 방송법을 위반한 롯데홈쇼핑에 대해 정부가 6개월 간 새벽 시간대 방송 송출을 금지하는 업무정지 처분을 내린 것은 정당하다는 대법원 판결이 나왔다. 대법원 특별1부(주심 노태악 대법관)는 롯데홈쇼핑이 과학기술정보통신부장관을 상대로 낸 업무정지 처분 취소소송(2022두33620)에서 원고패소 판결한 원심을 지난달 30일 확정했다. 업무정지 처분이 확정된 롯데홈쇼핑은 앞으로 6개월 간 오전 2∼8시까지 방송을 할 수 없게 됐다. 앞서 롯데홈쇼핑의 전·현직 임원 10명은 2014년 3월 납품업체로부터 편의제공 대가로 금품을 받은 혐의 등으로 기소됐다. 그런데 롯데홈쇼핑은 같은 해 8월 미래창조과학부(현 과학기술정보통신부)에 방송채널사용사업 재승인 신청서를 내면서 이 같은 사실을 누락했다. 정부는 이듬해인 2015년 5월 롯데홈쇼핑에 3년간 방송채널사용사업 재승인을 했지만, 2016년 진행된 감사원의 미래부 감사 과정에서 롯데홈쇼핑의 누락 사실이 드러나자 영업정지 6개월 처분(1차 처분)을 내렸다. 이에 불복한 롯데홈쇼핑은 2016년 8월 과기부를 상대로 행정소송을 냈다. 1심은 "롯데홈쇼핑이 허위 기타 부정한 방법으로 재승인을 얻었다는 점이 증명되지 않았다"며 롯데홈쇼핑의 손을 들어줬다. 2심은 롯데홈쇼핑의 방송법 위반 사실을 인정하면서도 "업무정지 처분의 내용이 재량권을 일탈·남용해 과도하다"며 1심 결론을 유지했다. 행정소송에서 패소한 과기부가 2019년 5월 다시금 롯데홈쇼핑에 6개월 간 새벽 시간대(오전 2~8시) 방송송출을 금지하는 업무정지 처분(2차 처분)을 하자, 롯데홈쇼핑은 또다시 소송을 냈다. 1심과 2심은 "롯데홈쇼핑이 허위 기타 부정한 방법으로 재승인을 받은 점이 인정된다"며 2차 처분의 정당성을 인정했다. 대법원도 이 같은 원심 판단을 받아들였다. 한편 대법원 형사2부(주심 이동원 대법관)는 1일 업무상 횡령 등의 혐의로 기소된 강현구 전 롯데홈쇼핑 사장에게 징역 1년 6개월에 집행유예 2년을, 롯데홈쇼핑에 벌금 2000만 원을 선고한 원심도 각각 확정했다. 강 전 사장은 2015년 방송 재승인 심사 때 허위 사업계획서를 제출한 혐의와 억대 비자금을 조성해 정치권 등에 후원금 명목으로 제공한 혐의 등을 받았다.

2017년 국내 가상화폐 거래소 빗썸의 전산 장애로 피해를 본 일부 투자자들에게 빗썸이 1인당 최대 1000만원을 배상해야 한다는 판결이 나왔다. 서울고법 민사16부(재판장 차문호, 이양희, 김경애 판사)는 25일 A 씨 등 투자자 190명(소송대리인 법무법인 대륙아주 김준우, 최의상 변호사)이 ㈜빗썸코리아를 상대로 낸 손해배상청구소송(2020나2032211)에서 원고패소 판결한 1심을 뒤집고 원고일부승소 판결했다. 재판부는 원고 가운데 A 씨 등 132명에게 1인당 최저 8000원에서 최대 1000만원까지 총 2억 5138만여 원을 지급하라고 판결했다. 빗썸은 지난 2017년 11월 11일 22시경부터 평소 10만 건 안팎이던 시간당 주문량이 20만 건 이상으로 지속됐다. 이처럼 대량의 매도·매수 대기 주문이 쌓인 상태에서 많은 양의 주문이 추가로 접수됨에 따라 데이터베이스(DB) 서버에 과부하가 발생했고, 이로 인해 DB서버가 주문 접수·거래 체결 등을 실시간으로 처리하지 못해 거래가 지연됐다. 주문 접수를 시도하는 회원의 단말기에는 '잠시 후 다시 시도해주세요' 등의 오류 메시지가 전달되면서 주문이 접수되지 않는 거래장애 상태가 발생했다. 오류메시지 발생 비율이 50% 이상 되자, 빗썸은 DB서버 데이터의 손상 위험이 있다고 판단해 회원들에게 전산장애가 생겼다고 공지하고 주문 접수를 차단하는 등 서비스 전체를 일시적으로 중단했다. 이후 서버 점검과 메모리 리셋, 유입 트래픽 제어 등 조치를 통해 약 1시간 30분 만에 거래를 재개했다. A 씨 등 투자자들은 "거래가 중단된 시점과 시스템이 안정된 시간 사이에 비트코인캐시(BCH)와 이더리움 클래식(ETC) 등 가상화폐의 가격이 급락했고, 그 시세 차액 상당의 손해를 입었다"며 빗썸을 상대로 소송을 냈다. 재판부는 "빗썸은 빗썸 사이트에 가입해 서비스 이용계약을 체결한 A 씨 등에게 시스템을 통해 가상화폐 거래를 할 수 있도록 서비스를 제공할 의무가 있고, 가상화폐 거래 중개 사이트 운영에 필요한 전반적인 시설과 시스템을 구축하고 유지·보수해 시스템이 원활하게 운영되도록 관리할 의무를 부담한다"며 "그런데 전산장애가 발생해 A 씨 등이 사이트에 접속하지 못하거나 매도 주문을 못하는 등 서비스를 이용하지 못해 빗썸은 서비스 이용계약에 따른 채무를 불이행했다. 빗썸은 A 씨 등에게 전산장애와 상당인과관계 있는 손해를 배상할 책임이 있다"고 밝혔다. 이어 "빗썸은 접속량 및 주문량 폭증으로 DB서버에 과부하가 발생할 수도 있다는 점을 알 수 있었을 것으로 보이는데도 전산장애가 발생하기 전까지 시스템 과부하를 해결할 수 있는 별다른 조치를 취하지 않았다"며 "위험관리 매뉴얼에 따라 DB서버의 과부하에 대처하기 위한 다양한 대책을 마련하고 있어야 함에도 그러한 조치를 취하지 않았다"고 했다. 또 "빗썸이 전자금융거래법상 전자금융업자가 아니어서 관련 규정의 규율 대상이 아니라고 하더라도, 그러한 사정만으로 빗썸이 운영하는 가상화폐거래소 시스템의 안정성에 대한 기준이 주식시장 시스템 안정성에 대한 기준보다 완화돼 적용돼야 한다고 보기 어렵다"며 "가상화폐 거래소는 휴일까지 포함해 모든 날 24시간 동안 거래가 가능하고, 단기적인 시세차익을 노리고 짧은 기간 동안 거래가 발생하는 점 등에 비춰보면 가상화폐 거래소를 이용하는 고객들로서는 가상화폐 거래소에 대해 주식시장에 준하는 시스템 안전성 내지 보다 더 안정적인 시스템을 기대하는 것이 합리적이라고 보인다"고 판시했다. 앞서 1심은 "전산장애 발생에 빗썸의 고의나 과실이 있다고 인정할 수 없을 뿐 아니라 전산장애의 발생으로 빗썸이 계약에 따른 채무를 이행하지 못한 것이 위법행위에 해당된다고 보기 어렵다"며 A 씨 등의 청구를 기각했다.

강용석(49·사법연수원 23기) 변호사가 자신에 대해 '또라이'라는 모욕성 댓글을 단 네티즌과 2년 동안 소송전을 벌인 끝에 손해배상금 10만원을 받아내게 됐다. 서울동부지법 민사2부(재판장 장준현 부장판사)는 강 변호사가 네티즌 조모씨와 김모씨를 상대로 낸 손해배상청구소송(2017나25699)에서 "조씨 등은 강 변호사에게 각각 10만원씩 지급하라"며 최근 원고 일부 승소판결했다. 양측 모두 상고하지 않아 판결은 그대로 확정됐다. 재판부는 "'또라이'는 일반적으로 상식에서 벗어나는 사고방식과 생활 방식을 가지고 자기 멋대로 하는 사람을 이르는 비속어"라며 "조씨와 김씨가 이런 댓글을 작성한 것은 인격권을 침해하는 불법행위이므로 강 변호사가 입은 정신적 손해를 배상할 책임이 있다"고 밝혔다. 다만 함께 고소된 유모씨등 5명에 대해서는 "강 변호사의 사회적 평가를 저하시킬 만한 추상적 판단이 일부 포함됐기는 하나, 손해배상책임을 인정할 정도는 아니다"라고 판시했다. 조씨와 김씨는 지난 2015년 강 변호사가 유명 블로거 '도도맘'과의 불륜설에 대한 심경을 밝힌 인터뷰 기사에 "진짜 X또라이인 것 같다. 왜 저러고 살까? 진짜 한심한 인생이네 ㅉㅉ 가정교육 못 받고 자란 건 확실한 듯", "완죤 또라이~~~~한국을 떠나세요~"라는 댓글을 달았다. 강 변호사는 "악성 댓글로 대중들에게 부정적으로 인식되는 피해를 입었다"고 주장하며 2016년 조씨와 김씨를 포함한 네티즌 7명에게 손해배상청구소송을 냈지만 1심에서는 패소했었다.

'깨알 고지 응모권' 논란을 불러온 경품행사를 통해 입수한 고객 정보를 보험사에 판매한 홈플러스가 개인정보 유출 피해를 본 고객들과의 소송전에서 잇따라 패소하며 배상책임을 물어야 할 처지에 놓였다. 서울중앙지법 민사31부(재판장 김정운 부장판사)는 18일 김모씨 등 1069명(소송대리인 법무법인 지향)이 홈플러스와 라이나생명보험·신한생명보험을 상대로 낸 손해배상청구소송(2015가합541763)에서 "홈플러스는 김씨 등에게 각각 5~20만원씩 모두 8300여만원을 지급하고, 이 중 라이나생명은 485만원을, 신한생명은 1120만원을 공동으로 지급하라"며 원고일부승소 판결했다. 재판부는 "홈플러스가 경품행사를 통해 거짓이나 부정한 방법으로 개인정보를 수집해 이를 보험사에 판매한 행위, 제3자 정보제공에 동의하지 않은 사람들의 개인정보를 보험사에 제공한 행위는 개인정보의 자기결정권을 침해한 불법행위"라고 밝혔다. 이어 "이런 행위는 단순히 개인정보 처리자의 과실로 유출된 신용카드 개인정보 유출 사건보다 위법성이나 정보의 주체가 받는 정신적 고통이 더 크다"며 "이를 위자료 액수 산정에 반영했다"고 판시했다. 홈플러스는 2011년 12월부터 2014년 6월까지 11회의 경품행사에서 고객의 개인정보 약 712만건을 수집해 건당 1980원씩 보험사 7곳에 팔아 148억원의 부당이득을 챙긴 것으로 조사됐다. 또 2011년 12월부터 2014년 8월까지 고객의 동의 없이 개인정보를 라이나생명(약 765만건)과 신한생명(약 253만건)에 넘기고 사후 동의를 받은 경우 건당 2800원의 판매금을 받아 83억5000여만원의 부당이득을 챙긴 것으로 드러났다. 홈플러스는 경품행사 당시 응모권 뒷면에 '개인정보는 보험상품 안내 등을 위한 마케팅자료로 활용된다'고 고지했지만, 이같은 내용을 1㎜ 크기의 작은 글씨로 안내해 사실상 관련 내용을 알리지 않은 것이나 다름 없다는 비판을 받았다. 이에 김씨 등은 2015년 6월 "홈플러스가 2011∼2014년 경품행사로 모은 개인정보와 패밀리카드 회원정보 2400만여건을 보험사에 팔아 개인정보를 침해당했다"며 "1인당 30만원씩 배상하라"며 소송을 냈다. 앞서 수원지법 안산지원도 지난해 8월 같은 피해를 본 고객 425명이 홈플러스를 상대로 낸 소송에서 "1인당 5만∼12만원씩 배상하라"고 판결했다. 서울중앙지법 민사11부(재판장 박미리 부장판사)도 같은해 10월 원고패소 판결한 1심을 뒤집고 "홈플러스는 피해 고객 4명에게 각각 10만원씩 지급하라"며 홈플러스의 배상책임을 인정했다. 한편 이 사건과 관련해 도성환 전 홈플러스 사장과 법인 등 9명은 개인정보 보호법 위반 등의 혐의로 기소돼 현재 형사재판이 진행 중이다. 1심과 2심은 도 전 사장 등이 개인정보 제공에 대한 동의를 받았다고 판단해 무죄를 선고했다. 하지만 대법원은 지난해 4월 "홈플러스가 고객 개인정보를 판매할 목적을 숨긴 채 사은행사를 한 것은 개인정보 보호법상 부정한 개인정보 취득 행위에 해당한다"며 무죄를 선고한 원심을 파기하고 사건을 유죄 취지로 서울중앙지법으로 돌려보냈다(2016도13263). 검찰은 지난해 12월 파기환송심 결심공판에서 도 전 사장에게 징역 2년을, 홈플러스 법인에게는 벌금 7500만원과 추징금 231억7000만원을 구형했다. 재판부는 25일 오후 2시 도 전 사장 등에 대한 선고 공판을 열 예정이다.

2012년 발생한 KT 개인정보 유출 사고에서 회사의 책임을 인정한 1심 판결이 항소심에서 뒤집혔다. 인터넷이라는 특성상 모든 사이트가 해커의 불법적인 침입에 노출될 수밖에 없고 완벽한 보안을 갖추기는 어렵다는 취지다. 서울중앙지법 민사4부(재판장 송인권 부장판사)는 강모씨 등 KT 가입자 81명이 KT를 상대로 낸 손해배상청구소송(2015나61155)에서 원고일부승소 판결한 1심을 깨고 최근 원고패소 판결했다. 재판부는 "KT가 개인정보 유출방지에 관한 기술적·관리적 보호조치를 이행하지 않은 과실로 인해 사고가 발생했다고 보기 어렵다"고 밝혔다. 그러면서 "KT는 규정을 준수해 접속기록을 확인해왔다"며 "해커가 정상적 서버를 우회해 접속기록을 남기지 않고 정보를 유출했을 가능성을 예상하기 어려웠다"고 판시했다. 앞서 1심은 "KT가 고객정보를 보호하기 위한 노력을 다하지 못했다"며 "강씨 등에게 10만원씩을 지급하라"고 판결했다. 2012년 해커 2명에 의해 KT 가입자 870만명의 개인정보가 무분별하게 유출되는 사고가 발생했다. 해커들은 고객정보를 몰래 조회할 수 있는 프로그램을 만들어 이름과 주민등록번호를 비롯해 휴대전화 가입일, 고객 번호, 사용 요금제, 기기 변경일 등의 개인정보를 빼냈다. KT는 이러한 유출 사태를 5개월간 파악하지 못하다 뒤늦게 내부 보안점검을 통해 해킹 사실을 파악하고 경찰에 수사를 의뢰했다. 이에 강씨 등은 "KT의 관리·감독 부실로 개인정보가 유출됐다"며 "1인당 30만원을 배상하라"며 소송을 냈다.

경품행사로 대량 수집한 고객 정보를 당사자 동의 없이 보험사에 판매한 유통업체 홈플러스가 피해 고객들에게 10만원씩 배상하라는 판결이 나왔다. 대법원이 올 4월 대형마트 등이 1㎜ 크기의 작은 글씨로 개인정보 제공 동의를 받고 이를 영리 목적으로 이용한 행위는 개인정보보호법 위반이라고 판시(2016도13263)한 이래 민사소송에서도 업체의 배상책임을 인정하는 판결이 잇따르고 있다. 서울중앙지법 민사11부(재판장 박미리 부장판사)는 김모씨 등 4명(소송대리인 정관영 변호사)이 홈플러스를 상대로 낸 손해배상소송(2016나83466)에서 최근 원고패소 판결한 1심을 뒤집고 홈플러스의 배상 책임을 인정했다. 재판부는 "홈플러스가 경품행사 당시 회원들에게서 개인정보 제3자 제공에 관한 동의를 받긴 했으나, 의도적으로 관련 부분의 글씨를 작게 해 김씨 등이 행사의 주된 목적을 인식하지 못하게 했다"며 "고객들의 개인정보 자기결정권을 침해했다"고 밝혔다. 이어 "김씨 등은 홈플러스의 고의적 위법행위에 본인의 정보가 판매할 목적에 수집됐고, 그중 일부가 보험사의 마케팅에 활용됐다는 점을 인식했을 때 기업으로부터 영리 대상으로 취급되고 있다고 느낄 수 있어 상당한 분노나 불쾌감을 느꼈을 것으로 보인다"고 설명했다. 다만 "추가적 개인정보 제공이나 유출이 없었고, 김씨 등의 성급함과 부주의도 원인이 됐다"며 위자료를 10만원으로 정했다. 앞서 1심은 지난해 12월 "해당 경품행사에 응모한 고객들 중 30% 정도는 개인정보 제공에 동의하지 않아 경품 추첨 대상에서 배제된 사실을 인정할 수 있다"며 "김씨 등도 경품 당첨 기회를 얻으려면 개인정보가 보험사 영업에 사용될 것이라는 점을 인식했다고 볼 수 있다"며 홈플러스의 손을 들어줬다. 김씨 등은 지난 2015년 "홈플러스가 2011년부터 2014년까지 7월까지 경품행사로 모은 개인정보와 패밀리카드 회원정보 2400만여건을 보험사에 231억7000여만원에 팔아 개인정보를 침해당했다"며 "1인당 100만원씩을 배상하라"며 소송을 냈다. 검찰도 같은해 2월 개인정보 보호법 위반 등의 혐의로 홈플러스 법인과 전현직 임원 8명을 기소했다. 이 사건의 1,2심은 "홈플러스가 경품 응모권에 '개인 정보가 보험회사 영업에 활용될 수 있다'는 내용의 고지 사항을 1㎜ 크기로 적어뒀고, 이 정도 글자 크기는 복권이나 의약품 사용설명서 등의 약관에서도 통용된다"며 무죄를 선고했다. 그러나 대법원은 지난 4월 "1㎜ 크기의 작은 글씨로 개인정보 제공 동의를 받은 경우 정상적으로 개인 정보 활용 동의를 받은 것이라고 볼 수 없다"며 무죄를 선고한 원심을 파기하고 사건을 유죄 취지로 서울중앙지법으로 돌려보냈다(2016도13263). 대법원 판결 이후 민사소송에서 배상판결이 이어지고 있다. 수원지법 안산지원 민사2부(재판장 우관제 부장판사)도 지난 8월 피해 고객 284명에게 홈플러스가 1인당 5~12만원씩 총 2306만원을 배상하라고 판결했다(2015가합1847).

개인정보 불법 수집 여부를 둘러싸고 의사와 환자들이 약학정보원 등을 상대로 소송을 냈지만 1심에서 패소했다. 서울중앙지법 민사26부(재판장 박상구 부장판사)는 김모씨 등 의사와 환자 1876명이 대한약사회와 약학정보원, 한국아이엠에스(IMS)헬스 주식회사를 상대로 낸 손해배상청구소송(2014가합508066)에서 최근 원고패소 판결했다. 김씨 등은 2014년 2월 "약사회와 약학정보원이 약국에 설치된 'PM2000' 프로그램을 통해 처방전에 기재된 성명과 주민등록번호 등 개인정보를 불법 수집하고, 이를 통계 처리 회사인 IMS에 제공했다"며 "의사 1인당 300만원, 환자 1인당 200만원 등 위자료 총 54억여원을 배상하라"며 소송을 냈다. 약사회 등은 "개인의 고유 정보를 수집 단계부터 암호화해 식별되지 않는 만큼 개인정보보호법 위반에 해당하지 않는다"고 맞섰다. 재판부는 의사나 환자들의 동의가 없는 정보 수집은 개인정보 보호법 위반 소지가 있지만, 실제 손해가 발생된 부분이 증명되지 않았다며 배상책임을 인정하지 않았다. 재판부는 "약사회는 약국의 처방관리 프로그램인 'PM2000'의 저작권자라는 사정만으로 불법행위를 했다고 볼 수 없다"며 "증거가 부족해 그 책임을 인정할 수 없다"고 밝혔다. 이어 "약학정보원이 식별성이 완전히 제거되지 않은 정보를 정보주체의 동의 없이 한국IMS헬스에 제공한 것은 개인정보보호법 위반에 해당한다"면서도 "해당 정보가 약학정보원과 한국IMS헬스에 제공된 이외에 다른 곳으로 유출되거나 제3자가 열람했을 가능성이 있다고 보기는 어렵다"고 설명했다. 또 "2014년 6월 이후 암호화된 정보를 보면 한국IMS헬스가 복구하는 것이 원천적으로 불가능하고 통계 작성을 위해 허용된 것으로 개인정보 보호법 위반에 해당하지 않는다"고 판시했다. 한편 약학정보원과 IMS헬스 임직원들은 개인정보 보호법 위반 혐의로 형사재판도 받고 있는데, 현재 결심까지 진행돼 선고 절차만 남겨두고 있다.