‘판례’란 법원이 특정 소송에서 법을 적용하고 해석해서 내린 판단입니다. 법원은 이 판례를 유사한 종류의 사건을 재판할 때 중요한 참고자료로 활용합니다. IT 분야는 기술의 발전 속도가 이를 뒷받침하는 제도의 속도보다 현저히 빠른 특성을 지녀 판례가 비교적 부족합니다. 법조인들이 IT 관련 송사를 까다로워하는 이유입니다. 하지만 디지털 전환을 거치며, IT 분야에도 참고할 만한 판례들이 속속 쌓이고 있습니다. IT동아는 법무법인 주원 홍석현 변호사와 함께 주목할 만한 IT 관련 사건과 분쟁 결과를 판례로 살펴보는 [그때 그 IT] 기고를 격주로 연재합니다.

‘카드 3사 고객정보 유출사건 판례’로 살펴본 개인정보 유출사고에 따른 손해배상책임’(대법원 2018. 12. 13. 선고 2018다219994 판결 등)

“대한민국 국민 중 절반은 개인정보 유출 피해를 입은 경험이 있다.”

O/X 퀴즈로 위 문항이 나온다면 정답은 무엇일까요? 이제부터 소개할 신용카드 3사 고객정보 유출 사건만 고려해도 정답은 ‘O’가 되지 않을까 싶습니다.

신용카드 3사 고객정보 유출 사건이란 KB국민카드, NH농협카드, 롯데카드(이하 ‘카드 3사’)가 보유하고 있는 고객정보가 외부로 노출된 국내 최대 규모의 개인정보 유출 사건입니다. 이 사건은 2014년 1월경 검찰 수사로 이슈화됐으며 수사 결과, 유출된 고객정보는 1억건 이상, 피해 고객은 약 2,000만명으로 추산됐습니다. 유출된 고객정보는 20종으로 주민등록번호, 주소, 연락처뿐만 아니라 결제 계좌번호, 카드번호 및 유효기간과 같이 전자결제에 이용될 수 있는 정보도 포함돼 있었으며, 대출업체에도 판매된 것으로 밝혀져 전 국민을 불안하게 했습니다.

수사 결과, 카드사의 고객정보를 빼돌린 사람은 시스템 개발을 위해 신용카드사에 파견근무 중이던 신용평가업체(코리아크레딧뷰로)의 직원으로 밝혀졌습니다. 일부 컴퓨터에서 USB 메모리 쓰기 기능을 사용할 수 있음을 악용해 2012년 10월부터 20213년 12월까지 여러 차례에 걸쳐 개인 USB 메모리 또는 외장하드에 고객정보를 저장해 가지고 나온 것이었습니다.

피해 고객들은 카드 3사 및 신용평가업체를 상대로 손해배상책임을 묻는 민사 소송을 진행했습니다. 고객정보가 유출된 데에는 개인정보 보호법상 조치의무를 이행하지 않은 카드 3사의 과실(USB 등 보조 저장매체 통제 미흡)이 존재하며, 신용평가업체 또한 소속 직원에 대한 지휘·감독에 미흡했으므로 사용자로서 책임을 부담해야 한다는 취지였습니다.

피해자들이 워낙 많았던 관계로 다수의 공동 소송(원·피고가 여러 명인 소송 형태)이 진행됐는데, 당시 9,000여명이 공익소송 대리인이었던 원희룡 현 국토교통부 장관을 선정 당사자로 해 KB국민카드와 신용평가업체를 상대로 제기한 손해배상소송이 대표 격이었습니다.

위 소송에서 법원은 일관되게 KB국민카드의 개인정보 보호 법령상의 주의의무 위반 및 신용평가업체의 사용자책임에 따른 손해배상책임을 인정했습니다. KB국민카드 측은 외주업체 직원이 계획적으로 저지른 범죄를 미연에 방지하는 것이 현실적으로 불가능했다는 점, 관련 법령에 따라 고객정보 유출을 방지하기 위해 적절한 조치를 취했다는 점 등을 들어 손해배상책임이 성립하지 않는다고 주장했으나, 법원은 KB국민카드의 주장을 받아들이지 않았습니다.

개인정보 유출로 인한 정신적 손해의 발생 여부 및 손해배상액 산정에 있어서도 당사자 간 치열한 공방이 이어졌습니다. 피해자들은 정신적 손해가 인정됨을 전제로 1인당 50만원 또는 100만원의 위자료를 청구했습니다. 하지만 대법원은 유출된 고객정보가 전파 및 확산과정에서 이미 제3자에 의해 열람됐거나, 앞으로 열람될 가능성이 매우 크다는 점을 근거로 사회 통념상 정신적 손해가 현실적으로 발생한 것으로 판단, 위자료를 1인당 10만원으로 정한 원심판결을 그대로 확정했습니다(2018다219994).

카드 3사 고객정보 유출사건 이후 개인정보 보호법이 개정(2015. 7. 24)돼 개인정보 유출에 대한 징벌적 손해배상제도 및 법정 손해배상제가 도입됐습니다. 징벌적 손해배상제도란, 개인정보처리자의 고의 또는 중대한 과실로 인한 개인정보 유출사고 발생 시 손해액의 3배까지 배상할 수 있도록 한 제도(개인정보 보호법 제39조 제3항, 제4항)이며, 법정 손해배상제도란 정보 주체가 개인정보 유출에 따른 실제 손해액을 입증하지 않아도 법원에서 300만원까지 손해액을 정할 수 있도록 한 제도(개인정보 보호법 제39조의2)를 말합니다.

개인정보 유출 사건 발생 시 피해자들에 대해 충분한 손해배상이 이뤄지지 못하고 있다는 반성적 고려에서 도입된 제도로 풀이됩니다.

카드 3사 고객정보 유출사건으로 주민등록법도 개정됐습니다. 과거 주민등록법상 주민등록번호를 변경할 수 있는 근거가 없었습니다. 출생신고를 하면서 부여받은 주민등록번호를 바꿀 수가 없었기 때문입니다. 그런데, 카드 3사 고객정보 유출사건 등으로 주민등록번호 유출 피해에 대한 국민 불안감이 높아졌습니다. 이에 따라 유출된 주민등록번호로 인해 생명·신체에 대한 위해 또는 재산에 피해를 입거나 입을 우려가 있다고 인정되는 등 예외 사유에 해당하는 경우, 주민등록번호를 변경할 수 있도록 주민등록법상 법적 근거가 마련(주민등록법 제7조의4) 됐습니다.

카드 3사 고객정보 유출사건은 약 2,000만명에 달하는 개인정보 유출 피해자가 발생했던 사건인 만큼 우리 사회 전반에 ‘개인정보 유출’이라는 화두를 던진 중요한 사건이라고 할 수 있겠습니다.

다음 기고에서는 2016년 발생한 인터파크 해킹 사건 판례를 소개하겠습니다.

글 / 홍석현 법무법인 주원 변호사

홍석현 변호사는 서울대학교 법과대학 및 고려대학교 법학전문대학원을 졸업하고 제4회 변호사 시험에 합격했습니다. 김앤장 법률사무소 소속 변호사로 일하다가, 현재는 법무법인 주원 파트너 변호사로 재직 중입니다.

정리 / IT동아 김동진 (kdj@itdonga.com)