KB국민카드는 지난 2014년 대규모 고객정보 유출 사태로 홍역을 앓았던 바 있다. 이때 개인정보 유출 피해를 입었던 고객 중 일부가 제기한 손해배상 청구 소송의 1심 판결이 최근 나와 눈길을 끈다.지난달 20일 서울중앙지방법원은 2014년 개인정보 유출 사건에 대한 책임을 지라며 KB국민카드와 코리아크레딧뷰로(KCB)에 대해 개인정보 유출 피해자 1인당 10만 원을 지급하라는 1심 판결을 내렸다.

이날 서울중앙지법은 KB국민카드와 신용조사 및 추심 대행업체 코리아크레딧뷰로를 상대로 소비자 825명이 제기한 손해배상 청구 소송에서 "개인정보 유출을 증명한 원고들에게 1인당 10만 원씩 배상하라"고 원고 승소 판결을 했다.

앞서 정보유출 피해자 K씨를 비롯한 825명은 2017년 1월 KB국민카드, 코리아크레딧뷰로를 상대로 8690만 원 규모의 손해배상 청구 소송을 제기한 바 있다. 이번 판결에 불복한 KB국민카드는 지난 6일, 코리아크레딧뷰로는 지난 12일 항소했다.

이번 소송의 손해배상 청구액은 다른 소송 건과 비교할 때 적은 수준이지만, 1억 건 이상에 달하는 카드사 개인정보 유출 대란과 관련된 소송인 만큼 판결 내용이 관심을 끄는 대목이었다.

2014년 고객정보 유출 사태에 휘말린 KB국민카드와 롯데카드, 농협카드는 당시 금융위원회로부터 3개월간 영업정지 징계를 받고 약 1000억 원의 막대한 영업손실을 감내해야 했다. 당시 고객의 이름, 주민등록번호, 자택주소, 자택전화번호, 휴대전화번호, 직장정보, 직장주소뿐 아니라 주거상황, 소득정보, 신용등급까지 유출되면서 사회적으로 큰 파장이 일어났다.

당시 카드사 고객정보 유출 사건은 2012~2013년 코리아크레딧뷰로가 이들 카드 3사와 신용카드 부정 사용 방지시스템(FDS) 모델링 개발용역계약을 맺으면서 발단이 시작됐다. 당시 카드사에 파견돼 FDS 개발과 설치 업무를 담당한 코리아크레딧뷰로 총괄매니저 박모 씨(42)는 각 카드사 사무실 컴퓨터에서 고객정보 1억여 건을 자신의 USB(이동식 저장장치)에 저장한 뒤 외부로 유출했다. 이 가운데 박 씨가 KB국민카드에서 유출한 고객정보는 5378만 건이다. 고객정보 유출 사실이 알려지면서 3개 카드사의 재발급o해지 접수 건은 수백만 건에 육박했다.

박 씨는 이 사건으로 형사재판을 받았고, 2014년 징역 3년을 선고받았다. 이후 피해자들은 카드사들의 관리 소홀 책임을 물어 집단 손해배상 청구 소송을 제기했고, 고객들의 일부 승소 판결도 잇따랐다.

서울중앙지법은 KB국민카드 개인정보 유출 피해자들의 손을 들어준 1심 판결에서 손해배상 책임의 범위를 유출 정보를 도용한 2차 피해 발생 가능성과 정보의 확대 가능성을 배제하기 어려운 점에 중점을 두고, KB국민카드가 정보 유출 피해자들에게 위자료 10만 원을 지급하도록 했다. 특히 재판부는 각 개인에게 유일하고 영구적인 성격을 지닌 주민등록번호가 유출 정보에 포함됐고, 이 정보가 도용될 경우 전화금융사기 등 범죄의 표적이 될 가능성도 있다는 점을 들었다.

다만 재판부는 카드고객정보의 내용이나 이를 취득한 사람들의 카드고객정보 취득 목적 등에 비춰 카드고객정보를 이용한 카드의 위조나 부정 사용으로 인해 재산적 손해가 발생할 가능성은 크지 않아 보인다고 했다. 더불어 구체적 재산 피해가 발생하지 않은 점, 카드고객정보가 대출업체에 한해 전파된 것으로 보이는 점, KB국민카드가 이 사건 카드고객정보 유출 사고를 인지한 이후 카드고객정보 유출 사고의 2차 피해 방지를 위해 상당한 노력을 기울였던 점도 종합적으로 고려해 판결에 반영했다고 언급했다.

서울중앙지법 재판부는 KB국민카드가 개인정보보호법, 전자금융거래법을 위반했다고 봤다. 구체적으로 개인정보 안정성 확보조치 기준 제6조 및 9조 위반, 개인정보 업무위탁에 관한 규정 위반, 암호화되지 않은 카드고객정보 제공과 관련된 규정 위반 등을 들어 KB국민카드가 개인정보 유출 피해 고객들에게 손해배상 책임이 있다고 판단했다.

개인정보보호법 제29조와 같은 법 시행령 제30조 제3항에 근거를 둔 개인정보 안전성 확보조치 기준 제9조는 개인정보처리자로 하여금 '악성 프로그램 등을 방지, 치료할 수 있는 보안 프로그램을 설치, 운영하여야 한다'고 규정하고 있다.

하지만 KB국민카드는 자신들의 사무실에서 FDS 프로그램 개발을 하는 코리아크레딧뷰로 직원들의 업무용 컴퓨터에 직접 보안프로그램을 설치하거나 설치, 유지 여부를 개별적으로 확인하지 않은 사실이 1심 판결을 통해 인정됐다.

더불어 코리아크레딧뷰로의 직원들이 KB국민카드 사무실에서 FDS를 개발할 당시 USB 장치의 쓰기 기능을 사용하는 데 아무런 제한이 없었던 점도 개인정보 안정성 확보조치 기준 제9조를 위반한 것으로 판단했다.

또한, 재판부는 KB국민카드가 코리아크레딧뷰로에 FDS 개발작업과 관련해 개인정보 처리 업무를 위탁하면서도 개인정보의 기술적, 관리적 보호조치에 관한 사항에 대해 아무런 약정을 하지 않은 점, 카드고객정보를 FDS 개발작업에 활용하는 것을 내버려둔 점을 들어 개인정보 업무위탁에 관한 규정을 위반했다고 봤다.

재판부는 암호화되지 않은 카드고객정보 제공과 관련된 규정 위반도 주목했다. 이번 판결에서는 KB국민카드가 변형되지 않은 카드고객정보의 사용을 최소화하고 정보유출 방지를 위한 엄격한 대책을 시행했어야 한다고 판단했다.

특히, FDS 개발작업 중 변형되지 않은 카드고객 정보가 반드시 필요한지 아닌지와, 변형된 카드고객정보로 대체할 가능성에 대해 검토하지 않아 개인정보보호법 제29조와 개인정보보호법 시행령 제30조 제1항 제3호를 구체화한 '개인정보처리자는 제1항에 따른 개인정보(고유식별정보, 비밀번호 등)를 정보통신망을 통해 송o수신하거나 보조저장매체를 통해 전달하는 경우에는 암호화하여야 한다'는 규정을 위반했다는 것이다.

[박스] 미국의 개인정보 유출 소송 살펴보니

한국정보법학회의 개인정보 유출 관련 소송 연구에 따르면 미국이나 우리나라에서는 개인정보의 유출과 관련된 사건이 자주 발생하고 있다. 개인정보 유출 관련 소송도 종종 제기된다. 미국에서는 개인정보 유출과 관련된 소송이 제기된 경우, 피해와 관련된 문제와 소송 청구 원인에 대해 살펴본다.미국 법원들은 정보 유출로 인식 가능한 피해가 실제로 존재하는지, 그 피해와 정보 유출 회사의 행위 사이에는 인과관계가 존재하는지를 따져본다. 나아가 인식 가능한 피해가 명확한지, 추측에 근거한 것은 아닌지도 살펴본다.또한 손해의 인과관계도 세부적인 피해 사실을 밝혀야 성립한다. 청구 원인에서도 피해자 측이 정보 유출 회사의 계약 위반 사항이나 과실, 법률의 규정 위반 여부 등을 명확하게 제시할 수 있어야 한다.