외주 위탁업체 직원에 의한 고객정보 유출 사건

[시큐리티월드 이지은, 정세진] 2014년 초에 밝혀진 카드 3사 개인정보 유출사건은 시스템의 개발용역을 위탁받은 외주업체의 직원이 해당 업무를 위해 카드사 고객정보에 접근했다 고객정보를 유출한 사건으로서, 유출건수가 역대 최다인 약 1억여 건에 달하였다는 점에서 큰 파장을 불러일으켰다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
최근 카드사를 상대로 한 손해배상청구사건의 1심 판결이 선고되었는데, 해당 사건에서 법원은 개인정보가 유출된 정보주체 중 개인정보가 유통된 것으로 보이는 일부 카드사 회원들에게 각 10만원씩의 위자료를 인정했다.

L카드사의 경우에는 개인정보 유출로 인한 정신적 손해는 유출된 개인정보가 제3자에 의해 악용될지도 모른다는 막연한 불안감만으로는 부족하고 현실적으로 발생하여야 한다는 이유로, 유출된 카드고객정보가 유통되지 않고 곧바로 회수된 원고들의 청구에 대해서는 청구가 기각되었고 일부의 원고들에 대해서만 위자료가 인정되었으나, 이 글의 목적상 이하에서는 청구가 인용된 공통부분을 위주로 설명하겠다.

이번 판결은 카드 3사를 상대로 제기한 수백 건의 소송들 중 일부 사건에 대한 1심법원의 판결로서 그 판단 내용이나 결론에 대해서는 논란이 있을 뿐만 아니라 아직 미확정 상태의 판결로서 상급심에서 달리 판단될 여지가 있으므로 이에 대해 함부로 언급하는 것은 조심스럽지만, 국민의 관심이 집중되었던 중요 사건에 관한 최초의 판결이니만큼 이 판결이 취하고 있는 개인정보 유출사고에 대한 시각 및 현업에 적용할 수 있는 시사점에 대해서 간단히 살펴보도록 하겠다.

1심 판결의 주요내용
카드3사의 주의의무 위반 여부
카드 3사는 다수의 보안프로그램을 도입하고, 개인정보 보호와 관련된 세부적인 내규를 마련하여 운용하는 등 관련 법령에서 요구하는 개인정보 보호대책을 모두 마련하고 있었으며, 개발과정에서 변환되지 않은 카드 고객정보가 반드시 필요한 경우에만 부득이하게 암호화되지 않은 고객정보를 제공하였다고 주장했다.

그러나 법원은 △개인정보처리자는 USB 쓰기 제한 기능까지 갖춘 보안프로그램을 설치·운영하여야 할 뿐만 아니라 그러한 기능이 실질적으로 작동하고 있는지 관리·감독하는 조치까지 하여야 함에도 이에 미흡하였다는 점, △외주업체직원들에게 고객정보 제공시 보안을 위한 별다른 지침 등을 주지 아니하였고 이들이 업무용 컴퓨터에 고객정보를 보관·활용할 수 있게 하면서도 접근권한 제한 등의 조치를 하지 않은 점, △개발과정에서 부득이하게 변환되지 않은 고객정보가 필요한 작업이 있다고 하더라도 이러한 작업이 이루어질 때에는 직원이 직접 입회하여 감시·감독함으로써 정보유출의 가능성을 차단시키는 등 보다 엄격한 대책을 수립·시행하였어야 함에도 불구하고 이러한 조치를 취하지 않았다는 점 등을 들어 주의의무를 위반하였다고 판단했다.

정신적 손해의 발생 여부
카드 3사는 고객정보가 유출되었다는 사정만으로 곧바로 정신적 손해가 발생하였다고 볼 수 없으며 유출사고 발생을 인식한 후 추가적인 피해발생 및 정보 확산 방지를 위한 조치들을 충실히 수행한 결과 실제 추가적인 피해가 발생하지 않았으므로 정신적 손해 발생을 인정할 수 없다고 주장했다.

이에 대해 법원은 고객정보가 유출되었다는 사정만으로 곧바로 정신적 손해가 발생한 것이 아니라는 논리는 받아들였다.

그러나 이 사건에서 유출된 정보는 개인을 식별할 수 있을 뿐만 아니라 사생활과 밀접한 관련이 있고 이를 이용한 2차 범죄에 악용될 수도 있는 개인정보(성명, 주민등록번호, 전화번호, 결제계좌, 신용등급 등)로서 이러한 개인정보가 유출됨으로 인해 발생하는 정신적 고통은 해당 개인정보가 정보 주체의 의사에 반하여 제3자에게 열람되었다는 것 자체, 또는 과거 또는 미래에 열람되었거나 열람될지 모른다는 염려에서 발생하는 것이라고 판단했다.

유출된 정보가 이미 제3자에게 열람되었거나 앞으로 열람될 가능성이 크다고 볼 수 있는 사실들이 인정됨을 전제로 사회통념상 개인정보 유출로 인한 정신적 손해가 현실적으로 발생하였다고 판단한 것이다.

손해배상의 범위
유출된 개인정보에 영구적이며 일신전속적인 성격을 지닌 주민등록번호가 포함되어 있어서 이를 도용한 2차적 피해 발생과 확대의 가능성을 배제하기 어렵다는 점, 유출사고가 개인의 고의 또는 계획적인 범행으로 발생하였다는 점, 2차적 피해나 구체적인 재산상 피해가 발생하지 않았다는 점, 개인정보 유출로 인한 피해 발생 및 확산을 저지하기 위하여 상당한 노력을 기울인 점 등을 종합적으로 고려하여 손해액은 1인당 10만원으로 정해졌다.

현업에 적용할 수 있는 시사점
이미 언급한 바와 같이 아직 위 1심 판결이 확정된 것이 아니고 또 동종의 많은 1심 사건들이 진행 중이므로 항소심 등 향후 소송 진행과정을 지켜볼 필요가 있으나, 일단 해당 판결에 근거하여 볼 때 현업에서는 다음과 같은 점에 대해 유념할 필요가 있다.

전반적으로 요구되는 주의의무 기준이 높게 설정됨
다음과 같은 점에 근거하여 볼 때 동 판결은 법규상 요구되는 개인정보 보호를 위한 의무들에 대하여 일반적인 실무적 관점보다 다소 높게 주의의무 기준을 설정한 것으로 보인다.
· 외주업체직원들에게 보안 프로그램 설치를 지시한 것만으로는 부족하고 실제 설치·유지되고 있는지 점검을 요함.
· 외주업체에게 고객정보를 제공할 때는 꼭 필요한 정보인지 면밀히 검토하여야 하며, 변환되지 않은 고객정보를 제공할 때는 회사 직원의 상주를 요함.
· 외주업체직원들에게 고객정보를 제공할 때에는 보안을 위한 지침이나 주의를 줄 것을 요하며, 업무용 컴퓨터를 통하여 고객정보를 저장·공유하는 것을 제한함.

따라서 현재 회사 내의 관련 법규상 의무들에 대한 주의의무와 관련하여 위 판결이 제시하고 있는 사항을 잘 준수하고 있는지를 다시 한 번 점검해 볼 필요가 있다.

유출된 정보가 제3자에게 열람되거나 열람될 가능성이 큰 경우에는 구체적인 손해가 발생하지 않았더라도 위자료 배상책임을 인정함
·법원은 실제 카드고객정보의 전파 및 확산과정에서 유출된 정보가 이미 제3자에 의해 열람된 경우뿐만 아니라 열람될 가능성이 큰 경우에도 사회통념상 카드고객정보 유출사고로 인한 정신적 손해가 현실적으로 발생하였다고 보고, 그에 대하여는 구체적인 손해 발생에 관한 입증이 없더라도 일정 금액의 위자료 배상책임을 인정했다.

그러나 해외 선진국의 입법례 등에서는 단순히 유출사고가 발생하였다는 점만으로 정신적 손해의 발생까지 인정하는 것이 아니라 구체적인 손해의 발생 사실에 대한 입증을 별도로 요하는 태도를 취하는 경우가 많다는 점 등에 비추어, 위 1심 판결의 결론은 손해의 발생 및 그에 따른 배상책임을 너무 쉽게 인정한 것이 아니냐는 비판적인 견해도 있었다.

다만, 현재 ‘신용정보의 이용 및 보호에 관한 법률’과 ‘개인정보보호법’에 법정손해배상제도가 도입 또는 도입 예정에 있는바, 법정손해배상제도 시행 후의 유출사고에 대하여는 구체적 손해액의 입증 없이도 손해배상이 용이하게 인정될 것으로 보이므로 이에 대하여 주의할 필요가 있다.

주민등록번호 등 2차 범죄에 악용될 수 있는 정보가 유출된 점을 손해배상책임 인정 근거로 봄
주민등록번호 등 영구적이고 일신전속적인 성격을 가져서 2차 범죄에 악용될 수 있는 정보가 유출될 경우 손해배상에 불리한 요소로 작용하므로 위와 같은 정보에 대하여는 암호화 등의 보안 조치를 철저하게 취하는 것이 필요할 것으로 보인다.
유출 사고 이후의 대응 조치를 손해배상 감경사유로 고려함
회사가 유출사고의 2차 피해방지를 위해 상당한 노력을 기울였던 사정은 손해배상책임을 감경하는 요소로 작용하므로 유출사고가 발생한 경우에는 신속하고 적극적인 대처가 필요하다.

마치며
본 판결은 유출사고 당시 발생하였던 사회적 혼란과 개인정보 보호를 강조하는 현재의 경향을 고려하여 개인정보를 수집·활용하는 회사에 보다 엄격한 주의의무를 요구한 것으로 보인다. 따라서 판결에서 나타난 주의의무 기준에 따라 현재 회사 내의 개인정보 관리 실태를 다시 한 번 점검해 볼 필요가 있다.
[글 시큐리티월드 이지은, 정세진 김앤장 법률사무소 변호사(sw@infothe.com)]

[월간 시큐리티월드 통권 231호(sw@infothe.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>