최근 잇따른 카드사 개인정보 유출사고 판결이 미칠 영향

협력업체·수탁사 관리 철저...필요 없는 개인정보 파기해야
실제 행위자 처벌 미약...피해 보상도 실질적으로 차등 지급 필요

[보안뉴스 김태형] 지난 2014년 카드사 개인정보 유출 사건으로 피해를 본 고객들에게 카드사가 손해를 배상하라는 판결이 나왔다. 지난 5월 3일 서울중앙지법 민사합의10부는 가모씨 등 4,830명이 KB국민카드와 코리아크레딧뷰로, KCB를 상대로 한 손해배상 청구소송에서 “고객들에게 각 10만원씩을 지급하라”며 원고 일부 승소 판결했다.

이에 앞서 지난 1월 28일 서울중앙지법 민사21부에서도 카드사 고객들이 KB국민카드와 KCB, 농협은행 등을 상대로 낸 손해배상 청구 소송에서 10만원씩 배상하라는 판결을 내린 바 있다. 재판부는 “카드사들이 개인정보 관련 법령상 의무를 위반해 사고 원인을 제공했고 개인정보 유출로 인해 정신적 피해를 입은 고객들에게 손해를 배상할 책임이 있다”고 밝혔다.

이 뿐만 이나다. 서울중앙지방법원 민사합의22부는 지난 1월 22일 카드사 고객들이 KB국민카드·KCB·농협은행 등을 상대로 낸 손해배상청구 소송에서 “카드사들은 피해를 입은 고객들에게 10만원씩 배상하라"며 원고 일부 승소 판결을 내렸다. 재판부는 주민등록번호 등 개인 사생활과 밀접한 정보들이 포함된 개인정보가 유출돼 대출중개 영업하는 이들에게 넘어갔고 앞으로도 제3자에게 다시 열람될 가능성이 크다고 판단했다.

이와 같이 카드사 고객정보 유출 손해배상 판결에서 재판부는 카드사들이 고객정보 유출을 차단할 수 있는 조치를 제대로 하지 않은 잘못이 있으므로 피해자인 고객들에게 유출을 배상할 책임이 있다고 봤다. 다만 재산상의 피해가 직접 확인되지 않았고 카드사가 고객정보 유출 여부를 확인하고 2차 피해 방지를 위해 노력한 점 등을 고려했다고 밝혔다.

이에 대해 법률사무소 비트 송도영 변호사는 “최근 있었덙 카드사 고객정보유출 손해배상 청구소송에서의 판결은 이용자들이 10만원씩 손해배상을 받을 만한 사실이 확인됐기 때문이다. 카드사에서 기술적 보호조치를 했다고 해도 해당 사고는 사람에 의한 것으로 마음만 먹으면 충분히 유출시킬 수 있기 때문에 관리적 보안에 대한 잘못을 인정한 것이다. 이에 기업 입장에서는 개인정보와 관련해서 파기해야 할 것들은 빨리 파기해야 좋다”고 말했다.

이어서 그는 “또한 해당 사건 판결에서는 협력업체나 수탁자 관리도 잘해야 한다는 점을 대변한다. 보안사고는 100% 다 막을 수는 없기 때문에 관리적 보안 조치도 중요하다, 아울러 카드사 고객정보 유출사고는 CEO가 사퇴한 최초의 사건으로, 개인정보 유출사고로 해당 기업의 최고경영자도 책임질 수 있다는 점을 보여줬다, 해당 사건은 우리나라의 관련 법 규제가 점점 강화되는 계기로 작용했다. 해외의 경우, 비즈니스와 개인정보의 이용이 조화를 잘 이루고 있는데 우리나라는 그렇지 않은 부분이 있어 이에 대한 개선이 필요하다”고 덧붙였다.

이와 관련 한 보안실무자는 “이번 카드사 정보유출 사고에 대한 판결은 카드사가 관리적 보안 수준이 미흡했던 점과 보안조치가 적절히 이루어지지 않았다는 점을 인정한 것은 맞다. 하지만 해당 기업의 관리자와 실제 범죄 행위자인 협력업체 직원 처벌에 있어 형평성에 어긋나는 점이 있다”고 말했다.

덧붙여 그는 “최근 해외에서는 악성코드를 지속적으로 유포해 수백만대의 PC를 감염시켜 큰 피해를 입힌 범죄자에게 그 피해 규모에 따라 엄중한 처벌을 내린 판결이 있다. 이와 비교해 보면, 국내 카드사 정보유출 사고와 관련한 실제 행위자에 대한 처벌은 너무 미약하다. 반대로 피해자인 해당 카드사는 CEO가 사퇴를 했고 이용자들에게 손해배상을 해야 한다. 즉 기업 이미지 실추는 물론 금전적으로 대규모 손해를 입었다”고 말했다.

이러한 사례는 보안담당자 입장에서는 정보유출에 대한 기업의 책임이 크다고 느낄 수 있다는 것. 최근 국내 개인정보보호 관련 법도 이처럼 기업 책임을 강화하는 방향으로 개정·시행되고 있는 추세다.

또 다른 보안담당자는 “카드사 개인정보 유출사고에 대한 법원의 손해배상 판결이 모든 이용자들에게 일률적으로 10만원씩 배상하라는 것은 앞으로 개선해야 할 부분이라고 생각한다. 물론 정신적 피해에 대한 배상일 수도 있고, 상징적인 의미일 수도 있다”면서 “하지만 정보유출에 대한 이용자들의 실질적인 피해 규모를 산출한 이후, 차등적인 손해배상이 이뤄져야 한다고 본다”고 말했다.

한편, 관련 사건에서 손해배상 청구가 기각된 판결도 있었다, 지난 2월 서울중앙지법 민사합의31부는 롯데카드 회원 660여명이 카드사와 신용정보업체 코리아크레딧뷰로(KCB)를 상대로 정보유출 피해에 대해 총 3억3000여만원을 배상하라고 요구한 두 건의 소송에서 모두 원고 패소 판결을 내렸다.

당시 재판부는 원고들의 개인정보가 유출된 것은 맞지만, KCB 직원의 이동식 저장장치(USB)에 담겨있었을 뿐, 이번 사건 원고들의 경우에는 개인정보가 대부업체 등 제3자에게까지 유출되지 않았다고 판단해 청구를 기각했다. 해당 판결은 개인정보가 유출된 것은 인정하면서도 이로 인한 실질적인 피해가 있었는지 없었는지를 판단한 사례라고 볼 수 있다.
[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)