한 인터파크 가입자의 개인 정보 유출 피해 확인 결과. © News1

인터넷 쇼핑사이트 인터파크 회원 1030만여명의 개인정보가 유출된 사실이 드러나면서 피해자들이 인터파크를 상대로 손해배상 소송을 준비 중인 것으로 알려졌다.

또 서울YMCA가 인터파크를 개인정보보호법 위반 혐의로 고발하는 방안을 검토중이라고 밝히면서, 인터파크 회원 개인정보 유출 사건의 민·형사 재판이 진행될 경우 배상책임 범위, 처벌수위 등에 대해 법조계 안팎의 관심이 높아지고 있다.반복되는 개인정보 유출 피해와 관련해 법조계에선 기업들의 경각심을 높이기 위해 징벌적 손해배상제도와 집단소송제도를 도입해야 한다고 목소리를 높이고 있다.

◇카드사 고객정보 유출 사건, 1인당 10만원씩 배상 인정

지난 2014년 발생한 카드사 고객정보 대량 유출사건에서는 피해자들이 카드사와 신용정보회사를 상대로 손해배상 소송을 제기해 1심에서 1인당 10만원의 배상을 인정받았다.지난 1월 서울중앙지법 민사합의22부(당시 부장판사 박형준)는 이모씨 등 피해자 5000여명이 신용정보회사 코리아크레딧뷰로(KCB)와 KB국민카드, 농협은행을 상대로 낸 손해배상 청구소송 4건에서 "피해자 1인당 10만원씩 지급하라"며 원고 일부 승소 판결했다.

당시 재판부는 "카드사들이 개인정보 등 법령상의 의무를 위반해 정보유출 사고의 원인을 제공했고, KCB도 직원에 대한 감독 의무를 다하지 못했다"며 카드사들과 신용정보회사에 배상책임을 인정했다.

재판부는 배상액을 정하면서 "유출된 개인정보에 주민등록번호가 포함돼 있다"고 지적하면서도 "이 사건에서 유출된 고객정보 내역 등에 비춰 재산적 손해가 발생할 가능성이 크지 않아 보이고, 정보 유출로 인한 재산상 피해가 직접 확인되지 않았다"고 설명했다.

그러면서 △유출된 정보가 불특정 다수인에게 공개된 것이 아니라 대출영업 목적을 가진 사람들에게 제한적으로 전파된 것으로 보이는 점 △사건 발생 후 카드사가 2차 피해 방지를 위해 노력한 점 △유출사고가 신용정보회사 직원의 범행으로 발생한 점 등으로 고려해 위자료 액수를 1인당 10만원으로 정한다고 밝혔다.

2014년 발생한 카드사 고객정보 유출사고는 KCB 직원 박모씨(41)가 신용카드 부정사용 방지시스템(FDS) 개발을 위해 각 카드사에 파견을 갔다가 2012년 10월~2013년 12월 농협은행과, KB국민카드, 롯데카드 사무실에서 업무용 PC에 저장돼 있던 고객정보를 빼돌려 발생한 사건이었다.

박씨가 빼돌린 고객정보는 KB국민카드 5378만건, 롯데카드 2689만건, 농협은행 2259만건 등 총 1억326만건에 달하는 것으로 드러났다. 이중 일부는 대부중개업자에게 넘어간 것으로 조사됐다.

이 사건과 관련해 법원은 다른 소송에서도 각 카드사와 신용정보회사에 손해배상 책임이 있다고 보고 피해자들에게 1인당 10만원의 위자료를 인정하고 있다.

반면 개인정보 유출과 관련해 업체 측이 정보보호 조치를 충분히 한 것으로 인정해 피해자들에게 배상을 인정하지 않은 사례도 있다.

대법원 민사1부(당시 주심 고영한 대법관)는 지난해 2월 옥션 개인정보 유출 피해자 2만2650명이 옥션을 운영하는 이베이와 보안관리업체를 상대로 낸 손해배상 소송에서 원고 패소 판결한 원심을 확정했다.

당시 재판부는 "옥션의 보안기술 수준과 보안조치를 보면 회원들의 개인정보를 안전하게 지키기 위해 필요한 보호조치를 모두 다 한 것으로 보인다"며 "개인정보 유출에 대한 손해배상 책임을 인정하기 어렵다"고 판단했다.

옥션은 지난 2008년 중국인 해커로부터 약 1800만 회원의 이름과 주민등록번호, 주소, 아이디, 계좌번호 등 개인정보를 모두 해킹당했다. 피해자들은 "1인당 20만원씩 배상하라"며 소송을 제기했지만 받아들여지지 않았다.

◇정보 유출 카드사들 형사재판에선 벌금 1000~1500만원

카드사들은 고객정보 유출과 관련해 형사재판에도 넘겨져 최근 1심에서 벌금형을 받았다.

서울중앙지법 형사합의25부(부장판사 김동아)는 15일 개인정보보호법 위반 등 혐의로 기소된 농협은행과 KB국민카드에 각각 벌금 1500만원을 선고하고, 롯데카드에 벌금 1000만원을 선고했다.

재판부는 기간별로 총 6건의 개인정보 유출 사건 가운데 농협은행 1건을 제외한 5건(KB국민카드 2건, 농협은행 2건, 롯데카드 1건)에 대해 카드3사의 개인정보보호법 위반 혐의를 인정했다.

다만 정보통신망법과 신용정보법 위반 혐의에 대해서는 용역업체 직원에 대한 관리책임이 있지만 범죄 구성요건상 처벌은 어렵다고 보고 무죄로 판단했다.

카드3사는 KCB와 신용카드 부정사용 방지시스템(FDS) 모델링 개발용역 계약을 맺고 KCB의 직원 박씨 등에게 개인정보를 여과 없이 준 혐의로 지난해 4월 불구속기소됐다.

카드사들은 박씨와 KCB 직원에게 암호화되지 않은 고객정보를 그대로 줬고, KCB 직원들이 컴퓨터와 노트북, USB 등을 회사 밖으로 가지고 나갈 때 아무런 통제를 하지 않았던 것으로 조사됐다.

한편 박씨는 신용정보법 위반 등 혐의로 기소돼 2014년 6월 창원지법에서 징역 3년을 선고받았고 판결이 확정돼 복역 중이다.

© News1 방은영 디자이너

◇법조계 "징벌적 손해배상·집단소송제도 도입해야"

지속적으로 반복되는 개인정보 유출 사건과 관련해 법조계에선 징벌적 손해배상제도와 집단소송 등을 도입해야 한다는 목소리가 나온다.

징벌적 손해배상제도는 가해자의 불법행위가 악의적이고 반사회적인 경우 실제 손해액보다 훨씬 더 많은 배상액을 부과하는 제도다. 현재 징벌적 손해배상은 영국·미국 등 영미법체계 국가에서 주로 도입돼 있다.

집단소송제도는 피해자 중 일부가 가해자를 상대로 소송을 내면 다른 피해자들이 별도의 소송을 내지 않고도 해당 판결의 효력이 피해자 전체에 미치도록 하는 제도다.

김한규 서울지방변호사회장은 "국민들이 개인정보 유출 사건으로 인해 반복된 피해를 입고 있으면서도 개별적으로 소송을 통해 해결하도록 방치하고 있는 것이나 마찬가지"라고 지적했다.

김 회장은 "반복적으로 발생하고 있는 기업의 개인정보 유출 사고를 방지하고 해결하기 위해 징벌적 손해배상제도와 집단소송제도 등을 명시적으로 입법화해 도입할 필요가 있다"고 강조했다.

'징벌적 손해배상을 지지하는 변호사·교수 모임(징손모)' 상임대표를 맡고 있는 김현 변호사도 징벌적 손해배상제도와 집단소송제도의 도입을 주장했다.

김 대표는 "이번 사안이야말로 집단소송의 요건에 맞는 전형적 사건"이라고 설명했다.  

김 대표는 "개인정보가 점점 더 중요시되고 있는데도 기업들은 보안에 소홀한 경우가 많다"며 "기업들의 경각심을 불러일으키기 위해 두 제도를 모두 도입할 필요가 있다"고 주장했다.


dandy@