이진화 서울중앙지법 민사31단독 판사는 5일 피해자 100명이 KT를 상대로 낸 손해배상 소송에서 "한 사람당 10만원씩 모두 1,000만원을 지급하라"며 원고 일부승소 판결했다.
이 판사는 "KT가 정보통신 서비스 제공자에게 요구하는 주의의무를 다하지 못한 것으로 판단된다"며 "특히 해킹 사고에 퇴직한 대리점 직원의 계정이 사용됐고 해킹 사고 발생 자체를 5개월이나 인지하지 못했다"고 지적했다. 이어 "유출된 정보가 전화번호 외에 주민등록번호 등 변경 불가능한 주요 개인정보이고 이 정보가 텔레마케팅 영업에 활용됐다"며 "원고들이 받았을 정신적 충격을 배상해야 한다"고 덧붙였다.
2012년 7월 해커 2명이 고객정보를 몰래 조회하는 프로그램을 이용해 KT 가입자 870만명의 개인정보가 유출되는 일이 발생하자 피해자들은 이에 대한 피해를 배상하라며 소송을 제기했다.
KT를 상대로 한 가입자들의 승소는 이번이 처음이 아니다. 올 8월 서울중앙지법은 개인정보 유출 피해자 2만8,000여명이 KT를 상대로 낸 소송에서 "한 사람당 10만원씩 지급하라"며 원고 일부승소로 판결했다. 당시 재판부는 KT가 망 내 데이터베이스에 주민등록번호와 같은 중요 정보를 암호화하지 않고 저장하는 등 개인정보 누출 방지를 위한 관리자로서의 의무를 다하지 않았다는 점을 지적했다.
하지만 가입자들이 개인정보 유출 소송에서 늘 승소하는 것은 아니다. 8월 대전지법은 SK커뮤니케이션즈를 상대로 한 가입자들의 소송에서 정반대의 판결을 내렸다. 재판부는 "SK커뮤니케이션즈는 개인정보 시스템 침입 탐지 및 차단 프로그램을 운영하고 있었으며 회원 비밀번호와 주민등록번호도 암호화해 관리하고 있었다"며 "개인정보 유출 방지를 위한 보호조치 의무를 위반했다고 보기 어렵다"고 밝혔다. 반면 같은 기업에서 발생한 유출 사건임에도 서울서부지법은 "SK커뮤니케이션즈가 개인정보 보호 의무를 소홀히 했다"며 원고 2,800여명에게 20만원씩 지급하라는 판결을 내렸다.
이처럼 유사한 사건임에도 다른 판결이 나오는 것은 개인정보 유출 외에도 기업의 주의의무 위반 여부 입증과 그간 얼마만큼의 보안 노력을 기울여왔는지 등이 다르기 때문으로 분석된다. 김경환 법무법인 민후 대표변호사는 "유사한 사건이어도 주장과 입증 증거가 달랐기 때문에 다른 결론이 나온 것"이라며 "법원이 개인정보 유출에 대해 통일된 의견을 갖고 있지 않은 것도 하나의 이유"라고 말했다.
