개인정보 유출시 손해배상 받을 수 있을까?
얼마 전 신용카드 3사의 고객 정보 대량유출 사건이 있었고, 최근에는 대출중개업자가 신용카드사에서 유출된 개인정보를 이용해 대출중개업을 하다 구속된 새로운 사실이 밝혀져, 이에 정보유출이 된 사람들이 카드회사 등을 상대로 정보유출로 인한 손해배상소송을 제기하기 위해 공동소송인단을 모집하고 있다는 언론의 보도가 있었다. 그렇다면, 개인정보유출의 경우 손해배상을 구할 수 있는 법적 근거는 무엇이고, 어떤 요건이 갖추어졌을 때 손해배상책임이 인정되며, 카드사의 책임이 인정될 경우 피해자들은 1인당 얼마의 금액을 손해배상으로 받을 수 있을까? 민법 제750조는 ‘고의 또는 과실로 인한 위법행위로 타인에게 손해를 가한 자는 그 손해를 배상할 책임이 있다’고 규정하고 있는데, 통상 정보유출로 인한 손해배상청구소송은 불법행위 책임을 근거로 한다. 따라서 불법행위로 인한 손해배상책임이 인정되기 위해서는 정보유출에 대한 카드회사의 고의 또는 과실, 위법행위, 고객의 손해발생, 위법행위와 손해발생간의 인과관계 등의 요건을 갖춰야 한다.
고객정보를 보유한 회사가 고의적으로 개인정보를 유출하는 경우는 거의 없고, 주로 과실이 문제된다. 회사의 직원이나 보안관리를 위탁받은 업체의 직원이 제3자로부터 금전이나 기타 재산상 이득을 받고 고객의 개인정보를 유출하거나 개인정보를 관리하는 사람의 직무상 잘못으로 암호화처리 되지 않은 개인식별정보가 인터넷상에 불특정, 다수인이 볼 수 있도록 유포된 경우가 대부분인데, 이런 경우 회사의 그 직원이나 정보보안관리 업체의 관리, 감독에 대한 과실을 인정함에 별다른 어려움이 없다. 이와 구별할 경우로 ‘해킹’으로 인하여 고객정보가 유출된 경우는 앞의 사례보다는 회사의 과실을 인정하는데 어려움이 있을 것인데, 해킹에 대비한 방화벽 설치 등 그 당시의 시점에서 강구될 수 있는 충분한 기술적 보안조치가 이뤄졌는지가 과실인정 여부의 핵심이 될 것이고, 기술적 조치가 미흡했다는 것이 인정된다면 과실이 인정될 것이다. 이와 같이 개인정보 보유 회사의 고의나 과실이 인정되면 이는 특별한 사정이 없는 한 위법행위로 평가될 것이다.
개인정보유출로 인한 손해배상 소송에서 가장 중요한 쟁점은 ‘손해의 발생’이다. 정보유출로 인한 물질적인 손해는 제3자가 유출된 개인정보를 이용하여 고객의 명의를 도용하여 대출을 받거나 물품을 구매하여 그 고객명의로 대출금이나 물품대금 채무를 부담하게 된 경우와 같은 ‘특별한 경우’(이 경우 물적 손해는 대출금이나 물품대금 상당액이 될 것임)가 아니라면 물질적 손해의 발생을 입증하기는 지극히 곤란하므로, 대부분 정보유출에 따른 정신적인 고통을 입은 것을 손해로 보아 위자료를 청구하는 것이 일반적이다. 종전에 선고된 일련의 판례들을 보면, 손해배상 소송에서 승패를 가르는 핵심적인 요소는 유출된 개인정보가 조기에 회수되어 2차 유출에까지 이르지 않았는지, 아니면 2차 유출로 이어져 상업적으로 이용되었거나 외부에 유포되어 불특정 또는 다수인이 이를 쉽게 열람하거나 이용할 수 있는 상태에 이르렀는지 여하다. 즉, 판례는 개인정보의 유출만으로 바로 손해가 발생하였다고 인정하지는 않는 것 같고, 2차 유출로 인해 개인정보가 불특정 또는 다수인이 이를 쉽게 열람하거나 획득할 수 있는 상태에 이르렀는가를 핵심적인 판단요소로 보고 있는 듯하다. 2008년 GS 칼텍스 사건에서는 외부파견 직원이 고객의 개인정보를 디스크와 외장 하드를 통해 유출시켰으나 제3자에게 이를 돈을 받고 넘기기 전에 그 자료가 회수되어 손해가 발생했다고 보기 어렵다는 이유로 원고들의 청구를 기각하였다(대법원 2012.12.26. 선고), 2007년 옥션의 고객정보 대량 유출사건(중국 해커가 고객정보를 유출한 사건)과 2011년 넥슨의 고객정보 유출 사건(메이플스토리 서버해킹으로 인한 고객정보유출 사건)에서도 역시 비슷한 이유로 원고들 패소판결이 선고되었다.
반면, 2005년 엔씨소프트 사건(리니지Ⅱ게임 서버에서 아이디 비밀번호 유출)에서는 1인당 10만원씩(대법원 2008.2.21. 선고), 2006년 엘지전자 입사지원사이트 정보유출사건(입사지원사이트에 엘지전자에 입사지원을 했던 2만2000여명의 입사지원자들의 상세정보가 위 사이트를 접속하면 누구나 볼 수 있도록 암호화되지 않은 상태로 일시적으로 방치됨)에서 1인당 30만원씩(서울고등법원 2008.11.25. 선고), 2007년 국민은행 사건(일부 고객에게 홍보메일을 보내면서 실수로 고객 3만명의 신상정보파일이 암호화처리 되지 않은 채 그대로 노출되어 첨부됨)에서는 1인당 10만원에서 20만원씩(서울고등법원 2007.11.27. 선고), 2011년 SK커뮤니케인션즈 사건(네이트 등 서버해킹으로 인한 개인정보유출)에서는 1인당 20만원씩의 위자료 지급판결이 선고되었다.
위자료의 액수는 회사측의 과실 정도 및 유출된 정보의 성격(정보의 민감성, 비밀성 정도), 유출된 정보가 어떻게 이용되었거나 이용될 수 있는 상태에 놓였는지 등을 종합적으로 고려하여 산정될 것이다. 이번 카드3사의 정보유출사건도 최근 2차적 유출의 정황이 드러나기도 했는데, 이러한 정황이 드러날수록 승소가능성이 높아질 것이다.
/노경환 변호사 법률사무소
고객정보를 보유한 회사가 고의적으로 개인정보를 유출하는 경우는 거의 없고, 주로 과실이 문제된다. 회사의 직원이나 보안관리를 위탁받은 업체의 직원이 제3자로부터 금전이나 기타 재산상 이득을 받고 고객의 개인정보를 유출하거나 개인정보를 관리하는 사람의 직무상 잘못으로 암호화처리 되지 않은 개인식별정보가 인터넷상에 불특정, 다수인이 볼 수 있도록 유포된 경우가 대부분인데, 이런 경우 회사의 그 직원이나 정보보안관리 업체의 관리, 감독에 대한 과실을 인정함에 별다른 어려움이 없다. 이와 구별할 경우로 ‘해킹’으로 인하여 고객정보가 유출된 경우는 앞의 사례보다는 회사의 과실을 인정하는데 어려움이 있을 것인데, 해킹에 대비한 방화벽 설치 등 그 당시의 시점에서 강구될 수 있는 충분한 기술적 보안조치가 이뤄졌는지가 과실인정 여부의 핵심이 될 것이고, 기술적 조치가 미흡했다는 것이 인정된다면 과실이 인정될 것이다. 이와 같이 개인정보 보유 회사의 고의나 과실이 인정되면 이는 특별한 사정이 없는 한 위법행위로 평가될 것이다.
개인정보유출로 인한 손해배상 소송에서 가장 중요한 쟁점은 ‘손해의 발생’이다. 정보유출로 인한 물질적인 손해는 제3자가 유출된 개인정보를 이용하여 고객의 명의를 도용하여 대출을 받거나 물품을 구매하여 그 고객명의로 대출금이나 물품대금 채무를 부담하게 된 경우와 같은 ‘특별한 경우’(이 경우 물적 손해는 대출금이나 물품대금 상당액이 될 것임)가 아니라면 물질적 손해의 발생을 입증하기는 지극히 곤란하므로, 대부분 정보유출에 따른 정신적인 고통을 입은 것을 손해로 보아 위자료를 청구하는 것이 일반적이다. 종전에 선고된 일련의 판례들을 보면, 손해배상 소송에서 승패를 가르는 핵심적인 요소는 유출된 개인정보가 조기에 회수되어 2차 유출에까지 이르지 않았는지, 아니면 2차 유출로 이어져 상업적으로 이용되었거나 외부에 유포되어 불특정 또는 다수인이 이를 쉽게 열람하거나 이용할 수 있는 상태에 이르렀는지 여하다. 즉, 판례는 개인정보의 유출만으로 바로 손해가 발생하였다고 인정하지는 않는 것 같고, 2차 유출로 인해 개인정보가 불특정 또는 다수인이 이를 쉽게 열람하거나 획득할 수 있는 상태에 이르렀는가를 핵심적인 판단요소로 보고 있는 듯하다. 2008년 GS 칼텍스 사건에서는 외부파견 직원이 고객의 개인정보를 디스크와 외장 하드를 통해 유출시켰으나 제3자에게 이를 돈을 받고 넘기기 전에 그 자료가 회수되어 손해가 발생했다고 보기 어렵다는 이유로 원고들의 청구를 기각하였다(대법원 2012.12.26. 선고), 2007년 옥션의 고객정보 대량 유출사건(중국 해커가 고객정보를 유출한 사건)과 2011년 넥슨의 고객정보 유출 사건(메이플스토리 서버해킹으로 인한 고객정보유출 사건)에서도 역시 비슷한 이유로 원고들 패소판결이 선고되었다.
반면, 2005년 엔씨소프트 사건(리니지Ⅱ게임 서버에서 아이디 비밀번호 유출)에서는 1인당 10만원씩(대법원 2008.2.21. 선고), 2006년 엘지전자 입사지원사이트 정보유출사건(입사지원사이트에 엘지전자에 입사지원을 했던 2만2000여명의 입사지원자들의 상세정보가 위 사이트를 접속하면 누구나 볼 수 있도록 암호화되지 않은 상태로 일시적으로 방치됨)에서 1인당 30만원씩(서울고등법원 2008.11.25. 선고), 2007년 국민은행 사건(일부 고객에게 홍보메일을 보내면서 실수로 고객 3만명의 신상정보파일이 암호화처리 되지 않은 채 그대로 노출되어 첨부됨)에서는 1인당 10만원에서 20만원씩(서울고등법원 2007.11.27. 선고), 2011년 SK커뮤니케인션즈 사건(네이트 등 서버해킹으로 인한 개인정보유출)에서는 1인당 20만원씩의 위자료 지급판결이 선고되었다.
위자료의 액수는 회사측의 과실 정도 및 유출된 정보의 성격(정보의 민감성, 비밀성 정도), 유출된 정보가 어떻게 이용되었거나 이용될 수 있는 상태에 놓였는지 등을 종합적으로 고려하여 산정될 것이다. 이번 카드3사의 정보유출사건도 최근 2차적 유출의 정황이 드러나기도 했는데, 이러한 정황이 드러날수록 승소가능성이 높아질 것이다.
/노경환 변호사 법률사무소
|
저작권자 © 경남일보 - 우리나라 최초의 지역신문 무단전재 및 재배포 금지
