법원 "1억 명 정보 유출 카드 3사, 손해배상 책임"

▲서울중앙지방법원

1억 명의 카드고객 개인정보를 유출한 신용평가업체와 카드 3사가 손해배상 책임을 지게 됐다. 신용평가업체 직원 개인의 고의로 발생한 사고라고 해도 정보 유출을 관리ㆍ감독하지 못한 카드 3사의 책임을 인정한 것이다.

서울중앙지법 민사24단독(최용호 부장판사)은 개인정보 유출 피해자 강모 씨 외 86명이 신용평가업체인 코리아크레딧뷰로(KCB), 농협은행, KB국민카드, 롯데카드를 상대로 낸 손해배상 청구 소송에서 원고 일부 승소 판결했다고 21일 밝혔다. 판결이 확정되면 KCB와 각 카드사들은 피해자 80여 명에게 각 10만 원과 지연손해금을 줘야 한다.

최 부장판사는 "개인정보 보호법과 개인정보의 안전성 확보기준에 의하면 개인정보처리자는 이동식저장장치(USB) 메모리의 쓰기 기능을 제한하는 보안프로그램을 설치해야 하고 이 기능이 잘 작동하고 있는지 관리 감독해야 한다"고 밝히며 "농협은행과 롯데카드는 KCB 직원들이 용역 업무를 위해 가져온 컴퓨터에 보안프로그램이 설치됐는지 확인하지 않았다"고 지적했다. 또 "각 카드사가 KCB에 암호화되지 않은 카드고객 정보를 업무용 컴퓨터에 보관 활용할 수 있게 제공하면서도 접근권을 제한하거나 카드사 직원들이 정보유출을 직접 감시ㆍ감독하는 등의 보안조치를 하지 않았고 정보 유출방지대책도 별도로 수립하지 않았다"고 짚었다.

최 부장판사는 이번 사고로 인한 피해자들의 정신적 손해를 인정했다. 최 부장판사는 "유출된 정보는 고객의 성명, 주민등록번호, 전화번호, 주소, 이메일, 직장정보, 결제계좌, 신용등급 기타 진용정보 등으로 개인의 사생활과 밀접한 관련이 있고 이를 이용한 2차 범죄에 악용될 수 있는 개인정보"라며 "유출된 정보가 주로 대출중개, 대출상품판매를 업으로 하는 사람들에게 전파돼 영업에 활용됐고 전파된 정보 상당 부분이 압수ㆍ폐기되기는 했으나 정보를 제3자가 취득했을 가능성을 완전히 배제하지 못하고 유출된 정보를 이용한 보이스피싱 등 범죄의 표적이 될 가능성이 크다"고 판단했다.

다만 2013년 12월 롯데카드 고객 정보가 유출된 것과 관련해서는 피해자의 손해를 인정하지 않았다. 최 부장판사는 "2013년 12월 유출된 정보는 유출된 지 얼마 지나지 않아 유출한 상태 그대로 압수됐다"며 "정보가 다른 사람에게 제공됐을 가능성이 거의 없어 고객들에게 위자료를 배상할 만한 정신적 손해가 발생했다고 보기 어렵다"고 밝혔다.

최 부장판사는 이어 "재산상 피해가 실제로 발생한 사례를 확인되지 않았고, 대출영업의 특정한 목적을 보유한 사람들에게 제한적으로 전파됐으며 유출된 카드고객 정보의 양이 매우 많아 이를 취득한 사람도 정보를 선별적으로 사용했을 것이고, 고객 개인정보를 수집 보관하는 것이 필수적인 경우가 많아 소비자로서 위와 같은 위험을 감수할 수밖에 없다"며 양형 이유를 설명했다.

코리아크레딧뷰로의 박모 차장은 카드 3사에 신용카드 도난 및 분실, 위변조 등으로 이상 거래를 탐지해 카드회사의 카드승인을 거절하는 '카드사고분석시스템' 개발 용역을 맡아 작업하던 중 암호화되지 않은 고객정보를 넘겨받았다. 박 차장은 이를 자신의 USB에 불법 복사하는 방법으로 KB국민카드 5300만 명, 롯데카드 2600만 명, NH농협카드 2500만 명 등 1억 400만 여명의 고객 개인정보를 대출중개영업 대표 등에게 건넸다. 박 차장의 범행으로 개인정보가 유출된 피해자 80여 명은 정보를 제대로 관리하지 못한 코리아크레딧뷰로와 카드 3사에도 책임이 있다며 2017년 이들을 상대로 손해배상 청구 소송을 냈다. 한편 박 차장은 이번 소송과 별도로 개인정보 유출 혐의로 징역 3년을 선고받았다.