인터넷 쇼핑몰 결제시스템이 해킹돼 명품시계 3100만 원어치가 단돈 2만여원에 팔려나간 사고가 발생했다면 쇼핑몰 사이트 제작·관리 업체에도 50%의 책임이 있다는 판결이 나왔다. 해킹 방지 시스템을 제대로 구축하지 않았다는 이유에서다. 서울중앙지법 민사68단독 심병직 판사는 인터넷 쇼핑몰을 통해 중고 명품을 판매하는 김모(소송대리인 법무법인 씨앤유)씨가 이 쇼핑몰 사이트를 제작·관리하는 A사를 상대로 낸 손해배상 청구소송(2016가단5146446)에서 "A사는 1400여만원을 지급하라"며 최근 원고일부승소 판결했다. 김씨는 지난해 3월 A사가 제작한 사이트에서 성명불상의 구매자가 롤렉스 시계 2개와 까르띠에 시계 1개 등 모두 3100여만원 상당의 명품시계를 주문·결제한 내역을 보고 다음 날 시계를 배송했다가 날벼락을 맞았다. 구매자가 해킹을 통해 전자결제대행업체인 한국사이버결제에 전달되는 주문서 페이지에 표시되는 실제 결제금액을 1만9100원으로 조작해 결제한 것을 뒤늦게 확인했기 때문이다. 김씨는 이에 "A사가 보안 시스템을 제대로 구축하지 않아 해킹 사고가 발생했다"며 "시계 값 3100여만원을 배상하라"며 소송을 냈다. 심 판사는 "한국사이버결제는 해킹으로 인터넷 쇼핑몰 사이트의 주문서 페이지에서 결제금액이 위·변조되는 사고가 자주 발생하자, 2012년 4월부터 서비스 이용자들이 상품가격 정보를 제공해 주면 실제 상품가격과 결제금액을 비교해 서로 다를 경우 결제 요청을 거절하는 기능을 무료로 제공해왔다"고 밝혔다. 이어 "쇼핑몰 사이트가 원활히 운영될 수 있도록 시스템을 구축할 의무가 있는 A사는 인터넷을 이용한 결제시스템의 작동 방식과 취약점에 대해 잘 알고 있을뿐만 아니라 이 같은 위·변조 방지기능이 쇼핑몰 사이트 운영에 반드시 필요하고 중요한 기능이라는 점을 알았거나 알 수 있었을 것으로 보인다"고 설명했다. 그러면서 "A사가 쇼핑몰 사이트를 제작할 당시 이미 한국사이버결제가 제공하고 있던 위·변조 방지기능을 적용하는 것은 A사가 이행해야 할 채무의 범위에 해당한다"고 판시했다. 다만 "김씨도 관리시스템에 접속해 실제로 결제된 금액을 확인하지 않고 시계를 배송한 잘못이 있다"며 A사의 책임을 50%로 제한했다.

해킹에 의한 개인정보 유출 사고로 피해를 입은 고객들이 케이티(KT)를 상대로 낸 손해배상 청구소송에서 법원이 엇갈린 판결을 내려 항소심 판단이 주목된다. 인터넷이라는 특성상 모든 사이트가 해커의 불법적인 침입에 노출될 수밖에 없고 완벽한 보안을 갖춘다는 것은 어렵다고 판단한 재판부가 있는 반면, 정보통신업체는 사회통념상 요구되는 수준 이상의 보호조치를 다해야 한다면서 보다 큰 책임을 강조한 재판부도 있다. 서울중앙지법 민사6단독 심창섭 판사는 17일 A씨 등 39명이 KT를 상대로 낸 손해배상 청구소송(2014가소413127)에서 "KT는 1인당 10만원씩 지급하라"며 원고일부승소 판결했다. 2013년 8월부터 2014년 2월까지 KT가 운영하는 마이올레 홈페이지에서 해킹 사고가 발생해 개인정보가 대거 유출됐다. 해커는 이 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력하는 해킹프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 빼냈다. 이에 A씨 등은 2014년 5월 "KT의 관리감독 부실로 개인정보가 유출됐다"며 "1인당 20만원을 배상하라"며 소송을 냈다. 심 판사는 "정보통신서비스 제공자는 사회통념상 합리적으로 기대 가능한 기술수준으로 개인정보를 관리하고 있지만 해커들은 항상 기술수준을 뛰어넘는 방법을 사용한다"며 "KT가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 기술적·관리적 보호조치를 한 것만으로 개인정보의 안전성 확보에 필요한 조치를 다했다고 볼 수 없다"고 밝혔다. 이어 "KT는 7개월간에 걸쳐 1170만건의 개인정보 유출이 이뤄졌는데도 이를 확인하지 못했다"며 "보안관련 인력을 보강하거나 서버를 외부접속용과 내부 접속용으로 분리하는 등 해킹 사고를 방지하기 위한 조치도 취하지 않았다"고 지적했다. 그러나 지난달 20일 서울중앙지법 민사22부(재판장 전지원 부장판사)는 B씨 등 같은 피해를 당한 3645명이 KT를 상대로 낸 손해배상 청구소송(2014가합553622)에서 원고패소 판결했다. 재판부는 "정보통신서비스 제공자가 법에서 정하고 있는 기술적·관리적 보호조치를 다했다면 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 보기 어렵다"고 밝혔다. 이어 "하루 접속 건수가 3300만여건에 이르는 마이올레 홈페이지의 시스템과 같이 방대한 규모의 모든 웹서버 접속 로그 기록을 실시간 분석하거나 상시적으로 사후 분석하는 것은 현실적으로 불가능하다"며 "해커 접속(34만건)은 1% 미만이어서 이상행위를 탐지하기도 어려웠다"고 설명했다. 그러면서 "개인정보 등을 송·수신할 때 암호화의 대상 범위는 일반인이 접근 가능한 인터넷 공중망을 의미한다"며 "해커가 암호화되지 않은 주민등록번호를 확인한 곳은 대리점 PC 내부 영역으로 정보통신망법상 암호화가 요구되는 영역이 아니다"라고 판시했다. 정보통신망법 시행령 제6조 3항은 정보통신서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다고 규정하고 있다. 앞서 대법원은 2015년 2월 KT와 유사하게 해킹에 의해 개인정보가 유출된 경매업체 옥션 사건에서 "온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 업체에 개인정보 유출에 대한 책임을 지우기 어렵다"고 판결했다(2013다43994). 한편 한국소비자원(원장 한견표)은 지난 20일 개인정보 유출 피해를 입은 KT 고객들이 "위약금 없이 서비스를 해지할 수 있도록 해달라"며 신청한 조정을 각하했다. 당시 KT는 개인정보 유출 피해를 본 고객들이 서비스를 해지하겠다고 하자 위약금을 규정대로 물려 사회적 비난을 받았다. 경실련은 2014년 7월 피해고객 57명과 함께 소비자원에 위약금을 물리지 않도록 집단분쟁조정을 신청했다. 그러나 소비자원은 "법에서 정한 최소한의 기술적·관리적 보호조치를 취했으므로 이용계약 해지에 귀책사유가 없고, 개인정보 유출로 재산적 피해는 발생하지 않았다"는 이유로 각하 결정했다. 이에 경실련은 "소비자원은 합리적 설명 없이 절차를 개시하지 않은 채 사건을 장기간 방치해, 다수 피해자가 어쩔 수 없이 해지 위약금을 부담하거나 남은 약정 기간을 채울 수밖에 없었다"며 소비자원에 대한 공익감사 청구와 행정소송 제기를 검토하겠다고 밝혔다.

은행고객이 신종 보이스피싱에 속아 일회용 비밀번호(OTP, one-time password)를 유출해 돈이 이체됐어도 은행이 고객에게 공지한 추가인증 절차를 진행하지 않은 등의 과실이 있다면 은행이 책임을 져야 한다는 판결이 나왔다. OTP란 인터넷뱅킹에 사용되는 보안카드 대신 모바일 프로그램이나 전용 단말기를 이용해 일회용 비밀번호를 생성하는 방식을 말한다. 학원강사 A(43·여)씨는 2014년 9월 지방세를 납부하기 위해 B은행 인터넷뱅킹 홈페이지에 접속했다. 그런데 갑자기 화면에 '금융감독원 사기예방 계좌등록 서비스'라는 팝업창이 떴다. A씨는 보안강화를 위한 것이라 생각하고 팝업창 안내문에 따라 계좌번호와 비밀번호, 공인인증서 비밀번호, OTP 비밀번호를 입력했다. 그러자 화면에 '등록중'이라는 표시가 떴고 곧바로 A씨의 휴대전화로 전화가 걸려왔다. 금융감독원 직원이라고 밝힌 남성은 "화면에 등록 중이라는 내용이 보이느냐, 계좌가 안전하게 등록되고 있다"고 설명했는데 이 와중에 A씨의 휴대폰 문자메시지로 A씨의 계좌에서 2100만원이 출금됐다는 내용이 전송됐다. 놀란 A씨가 "계좌에서 출금된 금액이 무엇이냐"고 묻자 이 남성은 "전산장애이니 30분 내로 돈이 다시 들어 올 것"이라고 말하고 전화를 끊었다. 30분 뒤 OTP 비밀번호만 입력하는 창이 다시 뜨자 A씨는 다시 비밀번호를 입력했고, 그 순간 A씨의 계좌에서 5회에 걸쳐 총 900만원이 출금됐다. 보이스피싱에 당했다는 사실을 알게 된 A씨는 사고 당시 공인인증서가 재발급된 사실이 없어 출금이 불가능한데도 돈이 빠져 나갔으며 B은행이 공지한 것과 달리 추가인증 절차도 없이 계좌에서 돈이 빠져 나갔다며 은행을 상대로 소송을 제기했다. B은행은 "A씨의 과실로 OTP 비밀번호가 노출돼 일어난 일"이라며 "책임이 없다"고 맞섰다. 전자금융거래법 제9조는 공인인증서나 OTP 같은 접근매체의 위조나 변조로 발생한 사고 등으로 이용자에게 손해가 발생한 경우 은행 등 금융기관이 배상해야 한다고 규정하고 있다. 다만 사고 발생에 이용자의 고의나 제3자가 권한 없이 이용자의 접근매체를 이용해 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 불구하고 접근매체를 누설하거나 노출 또는 방치하는 등 중대한 과실이 있는 경우에는 책임의 전부나 일부가 감경된다. 서울중앙지법 민사96 단독 이규홍 부장판사는 A씨(소송대리인 법무법인 지향)가 B은행을 상대로 낸 손해배상청구소송(2015가단5135685)에서 "B은행은 2200여만원을 지급하라"며 최근 원고일부승소 판결했다. 재판부는 "B은행이 홈페이지에 게시한 '전자금융사기 예방서비스 전면시행에 따른 추가인증' 공고에 따르면 '야간(21시~09시) 및 휴일 거래시 보안매체에 관계없이 1일 누적 100만원 이상 이체시 추가 인증이 있다'고 돼 있다"며 "사고 발생일이 휴일이었고 이체된 금액이 100만원을 초과함에도 B은행이 공고한 추가인증 절차는 이뤄지지 않았다"고 밝혔다. 이어 "A씨는 '금융거래 사이트는 주소창에 직접 입력하거나 즐겨찾기를 이용하라'는 B은행의 권유에 따라 즐겨찾기에 등록해 놓은 홈페이지로 접속했다"며 "B은행은 사고 당시까지 비밀번호 30~35개 중 일부를 입력하도록 하는 기존의 보안카드와 달리 OTP 방식은 외부노출과 해킹으로부터 안전한 것으로 홍보하기도 했다"고 설명했다. 재판부는 "보이스피싱에 대한 일반인의 인식이 높은 상황에서 A씨의 나이와 직업, 인터넷 금융거래 이용 경력 등을 고려하더라도 1차로 출금된 2100만원에 대해 A씨에게 중대한 과실이 있다고 볼 수 없어 은행의 배상책임이 100% 인정된다"고 했다. 하지만 2차로 출금된 900만원에 대해서는 "A씨가 공인인증서 인증과 추가인증절차가 없이도 계좌이체가 된다는 점을 의심하지 못한 과실이 인정돼 은행의 배상 책임을 10%로 제한한다"고 판시했다.

아이폰 사용자들이 "아이폰의 제조사인 애플이 사용자의 위치정보를 동의없이 수집했다"며 손해배상소송을 냈지만 1심에 이어 항소심에서도 패소했다. 1·2심 모두 애플의 불법 위치정보 수집은 인정했지만 손해배상책임은 없다고 판결했다. 부산고법 창원재판부 민사1부(재판장 이영진 부장판사)는 5일 국내 아이폰 사용자 299명이 미국 애플 본사와 애플코리아를 상대로 낸 손해배상청구소송의 항소심(2014나21277 등)에서 1심과 마찬가지로 원고패소 판결했다. 재판부는 아이폰 사용자들이 위치정보 서비스를 '끔' 상태에 뒀는데도 애플이 아이폰으로부터 주기적으로 위치정보를 전송받은 것은 개인위치정보의 수집을 금지한 위치정보법 위반이라고 판단했다. 재판부는 "아이폰과 애플의 위치정보시스템 사이 송수신되는 정보에는 사용자를 특정할 수 있는 정보가 포함되지 않더라도, 애플로부터 전송받은 위치 값이 기기 내 데이터베이스로 저장된다면 특정 사용자가 존재했던 장소에 대한 위치정보만을 모아둔 셈"이라며 "따라서 사용자가 개인위치정보 수집에 대한 동의를 철회했음에도 애플이 개인위치정보를 수집한 것으로 봐야 한다"고 밝혔다. 하지만 재판부는 이같은 정보수집이 '버그(bug:프로그램 오류나 오작동)'로 발생한 점 등을 고려해 손해배상책임은 없다고 판단했다. 재판부는 "위치정보수집이 버그로 예외적인 상황에서 일시적으로 발생한 것이고, 위치기반서비스 기술의 개발 및 정착 단계에서 발생한 기술적 시행착오의 성격이 짙다"며 "애플이 사용자의 위치정보나 개인위치정보를 침해할 의도는 없었던 것으로 보인다"고 밝혔다. 이어 "전송된 정보도 단순 위치정보"라며 "설령 해킹이 되더라도 사용자가 직접적인 피해를 입지는 않는다"고 설명했다. 방송통신위원회는 2011년 8월 애플이 사용자 동의 없이 위치정보를 수집했다며 과태료 300만원을 부과하고 시정조치 명령을 내렸다. 이후 국내 아이폰 사용자 2만8000여명은 "애플의 동의 없는 위치정보 수집으로 정신적 피해를 입었다"며 1인당 100만원의 위자료를 청구하는 소송을 냈다. 그러나 1심 재판부는 위치정보 수집을 인정하면서도 정보 유출이 없었다며 원고패소 판결했다. 1심에서 패소한 원고 2만8000여명 가운데 299명은 항소했다.

온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 해당 업체에게 개인정보 유출에 대한 책임을 지우기 어렵다는 대법원의 첫 판결이 나왔다. 대법원 민사1부(주심 고영한 대법관)는 간모씨 등 개인정보가 유출된 옥션 고객 2만2650명이 옥션을 운영하는 ㈜이베이(소송대리 김앤장 법률사무소)와 이 회사의 보안관리업체 인포섹(소송대리 법무법인 남산)을 상대로 낸 손해배상 청구소송 상고심(2013다43994)에서 원고패소 판결한 원심을 12일 확정했다. 재판부는 "옥션의 보안기술 수준과 보안조치를 보면 회원들의 개인정보를 안전하게 지키기 위해 필요한 보호조치를 모두 다 한 것으로 보이기 때문에 회원 개인정보 유출에 대한 손해배상 책임을 인정하기 어렵다"고 밝혔다. 이에 대해 "인터넷의 특성상 모든 사이트는 해커의 불법적인 침입에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 어렵다"고 설명했다. 옥션은 2008년 1월 중국인 해커로부터 회원 1800만명의 이름과 주민등록번호, 주소, 아이디, 계좌번호 등 개인정보를 모두 해킹당했다. 옥션 회원 14만6601명은 "1명당 20만원씩 배상하라"며 역대 최대 규모의 집단소송을 냈다. 1·2심은 "옥션은 해킹사고를 방지하기 위해 기술적인 보호 조치를 다 했다"며 원고패소 판결했고 고객 2만2650명만이 상고했다.

업체 대표가 지방자치단체의 입찰 정보를 해킹해 공사를 낙찰받아 유죄 판결을 받았더라도 해당 업체의 의견 청취 등을 하지 않고 입찰자격을 제한한 것은 위법하다는 판결이 나왔다. 대구지법 행정1부(재판장 권순형 부장판사)는 지난달 19일 A건설사가 봉화군을 상대로 낸 부정당업자 제재처분 취소청구소송(2014구합1019)에서 원고 승소 판결을 했다. 재판부는 판결문에서 "원고의 전 대표이사 B씨가 전자입찰 과정에서 해킹을 통해 낙찰을 받은 혐의로 유죄 판결을 받아 판결이 확정됐더라도, 적정한 입찰참가자격 제한기간을 정하기 위해서는 원고에게 의견제출 기회를 부여할 필요가 있다"며 "판결이 확정됐다는 사정만으로 구 행정절차법에서 규정한 '의견청취가 현저히 곤란하거나 명백히 불필요하다고 인정될 만한 상당한 이유가 있는 경우'에 해당한다고 할 수 없다"고 밝혔다. 재판부는 "행정절차법 시행령에서도 '재판 등에 따라 사실이 객관적으로 증명돼 의견청취가 불필요하다고 인정되는 경우'라고 규정하고 있는데 이는 재판에 의해 사실관계가 확정됐더라도 의견청취가 필요하다고 인정되는 경우에는 사전통지 및 의견청취 절차를 거쳐야 하는 것으로 해석된다"라고 설명했다. 2007년 6월 A건설사는 봉화군이 발주한 공사를 낙찰받아 계약을 체결했다. 그러나 검찰은 지난해 2월 A건설사 전 대표이사 B씨를 전자입찰 과정에서 해킹으로 입찰정보를 불법취득해 낙찰받은 혐의로 기소했다. 법원은 B씨에게 징역 2년, 집행유예 3년을 선고했고 판결은 확정됐다. 봉화군은 올 5월 A건설사에게 사전통지나 의견청취를 하지 않고 입찰참가 자격제한 6개월 처분을 내렸다. A사는 "사전통지 및 의견청취 등을 하지 않은 채 처분을 했으므로 위법"이라며 소를 냈다.

남의 신용카드 개인정보를 빼내 대출과 결제 등에 사용한 자가 형사처분을 받았더라도, 카드의 주인이 정보 유출의 고의나 과실이 없다고 입증하지 못하면 부정이용자가 사용한 채무에 대한 책임이 있다는 판결이 나왔다. 2011년 택배기사인 장모씨는 직장 동료인 김모씨의 주민등록증을 갖고 은행에 찾아가 김씨 인적사항을 기재해 계좌와 체크카드를 만들고 공인인증서를 발급받았다. 장씨는 발급받은 공인인증서로 대부업체들에게서 1400여만원을 대출받았다. 장씨는 김씨 신용카드 비밀번호와 유효기간, CVV번호 등 개인정보도 알아내 인터넷에서 800만원을 결제했다. 검찰은 장씨를 사기, 사문서위조 등의 혐의로 기소했고, 대법원에서 징역 2년이 확정됐다. 김씨는 은행과 대부업체가 자신에게 돈을 달라고 하자 "장씨에게 신용카드와 주민등록증을 빌려준 적이 없으므로 신용카드 정보유출에 대해 과실이 없다"며 채무부존재확인의 소를 냈다. 1심은 "김씨가 다소 지능과 판단력이 떨어지는 점을 악용해 신용카드 정보를 습득한 것으로 보인다"며 "김씨가 대부업체들과 여신거래약정을 한 적이 없으므로 피고들의 주장은 이유 없다"며 원고 승소 판결을 했다. 은행측은 "김씨가 장씨에게 신용카드 자체를 건네줬을 가능성도 있다"며 항소했다. 울산지법 민사2부(재판장 문춘언 부장판사)는 최근 채무부존재확인항소심(2013나5763)에서 원심을 취소하고 "김씨는 은행에 800여만원을 지급하라"며 원고 패소 판결을 했다. 재판부는 판결문에서 "장씨가 마치 자신이 김씨인 것처럼 행세해 공인인증서를 발급받아 사용함으로써 징역 2년을 선고받은 것은 사실이나, 형사판결은 장씨가 권한 없이 신용카드로 거래함으로써 가맹점으로부터 재물 또는 재산상 이익을 편취했다는 것"이라며 "이 사건의 쟁점은 장씨가 신용카드 정보를 이용해 전자상거래를 한 경우에도 김씨에게 비밀번호 유출에 대한 책임을 물을 수 있는지 여부"라고 밝혔다. 재판부는 "약관에는 고의 또는 과실이 없는 경우에 회원은 비밀번호 유출 책임을 면한다는 취지로 규정하고 있는데, 카드 회원 스스로 비밀번호 누설에 아무런 과실이 없다는 점을 입증해야 한다는 취지로 해석된다"면서 "장씨가 유죄 확정판결을 선고받았다는 점 등만을 볼 때 장씨가 전산관리 시스템을 해킹하는 등의 방법으로 신용카드 비밀번호 등 정보를 취득했거나 김씨에게 고의 또는 과실이 없었다고 인정하기 부족하다"고 설명했다.

애플사가 아이폰 이용자의 동의 없이 개인위치정보를 수집해 피해를 입었다며 집단소송을 낸 국내 아이폰 이용자들이 패소했다. 창원지법 민사5부(재판장 이일염 부장판사)는 26일 국내 아이폰 이용자 2만8000여명이 미국 애플 본사와 애플코리아를 상대로 낸 손해배상 청구소송(2011가합7291)에서 원고패소 판결했다. 재판부는 판결문에서 "2010년 6월부터 2011년 5월까지 기기 중 일부에서 버그가 발생해 사용자가 위치서비스 기능을 껐음에도 불구하고 위치정보가 애플 서버에 전송된 점을 볼 때 애플사가 사용자의 동의 없이 위치정보를 수집한 것은 인정된다"면서도 "그러나 기기에서 애플 서버로 전송되는 정보에는 기지국 등을 특정할 수 있는 식별정보만 포함돼 있고 특정 기기나 이용자를 식별할 수 있는 정보가 포함돼 있지 않아 전송된 정보를 위치정보법의 '개인위치정보'로 볼 수 없다"고 밝혔다. 재판부는 "애플이 수집한 정보들이 개인을 식별하지 않는 형태로 수집돼 제3자는 물론 애플사도 개인이 사용하는 기기나 위치를 알 수 없는 점, 사용자가 기기를 분실하거나 해킹돼 기기 내 위치정보가 외부로 유출된 사례를 찾아볼 수 없는 점 등을 볼 때 원고들이 애플사로부터 위자료를 받을 만한 정신적 손해를 받았다고 보기 어렵다"고 설명했다. 2011년 8월 법무법인 미래로는 아이폰 사용자 2만8000여명을 대리해 애플사를 상대로 "사용자 동의 없이 위치정보를 수집한 것은 위법하다"며 원고 1명에 위자료 100만원씩을 청구하는 소송을 냈다. 애플 측은 "수집한 정보는 기기 주변 기지국 또는 Wi-Fi 위치 식별정보일 뿐 개인 식별 정보가 아니다"라고 맞섰다.

최근 일부 신용카드 회사에서 역대 최대의 고객 개인정보 유출사건이 발생해 집단소송 움직임이 일고 있다. 유출된 개인정보 중 절반 이상이 주민등록번호, 대출거래내용, 신용카드 승인명세 등 중요 신용정보인 것으로 드러나 피해 규모도 커 손해배상금액도 기하급수적으로 늘어날 것이라는 전망도 나오고 있다. 최근 개인 신용평가회사 코리아크레딧뷰로(KCB)의 차장급 직원 박모(40)씨는 KB국민·롯데·NH농협카드사 등에 외부협력업체 직원으로서 파견을 나갔다가 카드사의 회원 정보 1억 400만건을 자신이 가져간 USB에 담아온 혐의로 구속 기소됐다. 검찰에 따르면 박씨는 빼낸 정보를 제3자에게 돈을 받고 넘긴 것으로 알려졌다. 사고 소식이 알려지자 네이버나 다음 등 주요 포털사이트에는 관련 카페가 속속 만들어지고 있다. 또 KT 정보유출 사고 등과 관련해 과거 카페를 운영하던 변호사들도 기존 카페에 글을 올려 신용카드 정보유출 소송에 참가할 것을 권유하고 있다. 법원은 회원정보 유출과 관련해 회사 측의 책임을 인정하기 위해서는 '정보가 관리자의 통제 범위를 벗어나 유출될 것'과 '유출된 정보가 제3자에 노출될 수 있는 위험성이 인정될 것' 등 두가지 요건을 갖추어야 한다고 밝히고 있다. 대법원은 지난 2012년 12월 GS칼텍스 보너스카드 가입자 7675명이 낸 손해배상 청구소송(2011다59834)에서 원고패소 판결한 원심을 확정하며 "회원의 정보가 저장매체로 옮겨져 보관 중에 모두 압수·폐기됐다"며 "개인정보 유출로 인한 피해가 발생했다고 볼 수 없다"고 밝혔다. 저장 매체에 옮겨진 것 만으로는 유출이 아니라고 판단한 것이다. 이번 사건도 USB에 옮겨진 점만 인정된다면 회사의 배상책임을 인정하기는 어렵다. 그러나 제3자에게 돈을 받고 정보를 넘긴 사실이 확인되면 정보가 위험에 노출됐다고 볼 수도 있다. 또 신용카드 회사의 책임을 어디까지 인정할 것인지도 따져봐야 한다. 법원은 해킹으로 인한 정보유출 사례에 대해서는 회사가 정보 유출 방지에 충분한 노력을 다 했다면 주의의무를 다했다고 보고 있다. 그러나 이번 개인정보 유출 사고는 외부직원이 USB에 간단히 정보를 담아가, 카드 회사들이 정보 관리에 소홀했다는 지적이 나온다. 이 때문에 기존의 '해킹사례'보다 회사측의 책임을 인정하는 것이 쉬울 것이라는 전망도 나온다. 박진식 법무법인 넥스트로 변호사는 "해킹 기술은 막는 데 한계가 있다고 항변할 수 있지만 이번 사건은 과연 카드사가 정보 통제를 엄격하게 했느냐를 두고 책임을 면하기가 쉽지 않을 것"이라고 말했다. 유출된 정보가 민감한 개인정보를 담고 있는 것이 확인됨에 따라 배상액수에도 관심이 집중되고 있다. 실제로 유출 사건이 발표된 후 인터넷 커뮤니티 사이트마다 '스팸 문자가 늘었다'는 내용의 글들이 많이 올라오고 있다. 법무법인 평강의 최득신 대표변호사는 "개인정보가 1회 이상 유출됐다면 그 밑에는 파생된 피해가 엄청날 것으로 예상된다"며 "박씨가 금전거래를 통해 정보를 유출한 만큼 손해배상금액도 기하급수적으로 늘어날 수 있다"고 말했다. 반면 유철민 변호사는 "정보가 어느정도 퍼졌느냐에 따라 다르겠지만 피해 입증이 쉽지 않아 손해배상을 받는다고 해도 소액일 것"이라며 "기소된 관계자들이 정보 활용 방법을 구체적으로 공개하지 않는 한 구체적인 피해 입증은 어렵다"고 말했다.

인터넷전화서비스 사업자가 시내외전화 회선을 이용할 수 있도록 명의만 빌려준 개인은 해킹으로 발생한 국제전화요금을 지급할 계약상 책임은 없다는 판결이 나왔다. 다만, 재판부는 명의 대여가 금지돼 있는데도 이를 어긴 데 대해 KT에 손해배상책임을 져야 한다고 판단했다. 서울고법 민사8부(재판장 배기열 부장판사)는 지난달 21일 김모씨 등 30명이 ㈜케이티(KT)를 상대로 낸 부당이득금 반환소송 항소심(2013나8467)에서 "KT는 김씨 등이 이미 낸 요금 59만여원은 반환하고 기왕에 부과한 나머지 요금도 받을 권리가 없다"면서도 "김씨 등은 명의대여에 대한 손해배상으로 KT에 7600여만원을 지급해야 한다"고 판결했다. 재판부는 판결문에서 "국제전화요금 납부의무를 부담하기 위해서는 계약으로 국제전화요금이 정해져야 하는데, 요금을 산정할 구체적 기준이나 근거가 없다"며 "국제전화 요금이 김씨 등이 사용한 결과 발생한 것이 아니어서 요금 납부의무를 부담하지 않는다"고 밝혔다. 하지만 "김씨 등이 KT에 대한 서비스를 인터넷전화서비스 사업자가 이용하도록 동의한 것은 계약위반이기 때문에 김씨 등은 KT에 손해를 배상할 책임이 있다"며 "KT가 이를 알고 있음에도 별다른 조치 없이 서비스를 계속 제공해 이용요금을 징수했고, 해킹사고에 이상징후를 감지할 수 있었음에도 뒤늦게 통보하는 등 손해 발생에 기여해 김씨 등 손해배상 책임을 60%로 제한한다"고 덧붙였다. 김씨 등은 2009년 KT와 시내외전화 서비스이용계약을 맺고, 인터넷전화서비스 사업자가 이를 이용할 수 있도록 동의했다. 같은해 김씨 등이 명의를 대여해 준 회사가 해킹을 당해 김씨 등 명의로 국제전화요금 1억2960만원이 발생했다.