지난 2014년 KB·롯데·농협카드의 사상 최대 개인정보 유출 사고와 관련해 카드사의 배상 책임을 인정한 첫 판결이 나왔다. 이번 판결로 배상을 받는 피해자는 5,000여명, 액수는 5억여원이지만 10만명 정도의 피해자가 추가로 소송을 진행하고 있어 향후 배상금액이 크게 불어날 가능성도 배제할 수 없다.
서울중앙지법 민사합의22부(박형준 부장판사)는 22일 정보 유출 피해를 본 KB카드와 농협카드 고객 5,200명이 카드사와 신용정보 업체 코리아크레딧뷰로(KCB)를 상대로 낸 4건의 손해배상소송에서 "피고는 원고에게 1인당 10만원씩 배상하라"고 선고했다. 이로써 KB카드와 KCB는 공동으로 4억5,000만원, 농협카드는 5,000만원을 물어야 할 처지가 됐다. 롯데카드는 이번 소송의 피고가 아니어서 선고 대상에서 빠졌다.
재판부는 "카드사들이 개인정보가 유출되지 않도록 보호조치를 다하지 않아 사고의 원인을 제공했다"며 "피해자 고객정보가 제3자에게 넘어갔을 가능성이 크므로 이로 인한 정신적 손해를 배상해야 한다"고 밝혔다.
KB·롯데·농협카드는 2012~2013년 회사에 '부정사용방지시스템'을 구축하는 업무를 KCB에 맡겼다. 하지만 프로젝트를 총괄한 KCB의 박모씨는 시스템을 만드는 과정에서 업무용 컴퓨터에 있던 카드사 고객정보를 이동식저장장치(USB)로 빼돌려 팔아치웠다. 유출된 개인정보는 1억여건에 이르렀고 정보 종류는 이름·주민번호·휴대폰번호는 물론이고 카드결제의 핵심정보인 신용카드 유효기간도 있었다. 이들 정보 가운데 8,000만여건은 대출중개업자 등에게 넘어간 것으로 밝혀져 국민적 공분을 샀다.
카드사들은 재판 과정에서 "KCB 직원이 개인적으로 저지른 범죄이고 우리는 오히려 피해자"라고 주장했지만 법원은 이를 받아들이지 않았다. 카드사들이 USB를 통한 유출을 막을 수 있는 보안 프로그램을 설치하지 않았고 고객정보를 암호화하지 않고 KCB 직원에게 넘기는 등 개인정보보호법이 요구하는 정보보호 의무를 소홀히 했다는 것이다.
피해자들은 배상액수로 적게는 20만원, 많게는 70만원을 요구했으나 재판부는 실질적인 재산상 피해가 확인되지 않은 점 등을 이유로 배상액을 10만원으로 제한했다.
이날 판결은 다른 정보 유출 피해자들이 카드3사를 상대로 진행하고 있는 손해배상소송에도 영향을 줄 것으로 전망된다. 현재 전국에서 진행 중인 소송은 100여건, 원고 수는 10만명에 이르는 것으로 추산된다.
피해자들을 대리한 법무법인 바른 관계자는 "카드사의 책임이 인정된 것은 다행이지만 신용카드 유효기간 등 핵심정보가 유출된 피해자 등에게까지 배상액수를 10만원으로 제한한 것은 아쉽다"고 말했다. NH농협카드 관계자는 "판결을 겸허히 받아들이며 앞으로 대응 방안을 철저히 검토할 것"이라고 밝혔다.
서울중앙지법 민사합의22부(박형준 부장판사)는 22일 정보 유출 피해를 본 KB카드와 농협카드 고객 5,200명이 카드사와 신용정보 업체 코리아크레딧뷰로(KCB)를 상대로 낸 4건의 손해배상소송에서 "피고는 원고에게 1인당 10만원씩 배상하라"고 선고했다. 이로써 KB카드와 KCB는 공동으로 4억5,000만원, 농협카드는 5,000만원을 물어야 할 처지가 됐다. 롯데카드는 이번 소송의 피고가 아니어서 선고 대상에서 빠졌다.
재판부는 "카드사들이 개인정보가 유출되지 않도록 보호조치를 다하지 않아 사고의 원인을 제공했다"며 "피해자 고객정보가 제3자에게 넘어갔을 가능성이 크므로 이로 인한 정신적 손해를 배상해야 한다"고 밝혔다.
KB·롯데·농협카드는 2012~2013년 회사에 '부정사용방지시스템'을 구축하는 업무를 KCB에 맡겼다. 하지만 프로젝트를 총괄한 KCB의 박모씨는 시스템을 만드는 과정에서 업무용 컴퓨터에 있던 카드사 고객정보를 이동식저장장치(USB)로 빼돌려 팔아치웠다. 유출된 개인정보는 1억여건에 이르렀고 정보 종류는 이름·주민번호·휴대폰번호는 물론이고 카드결제의 핵심정보인 신용카드 유효기간도 있었다. 이들 정보 가운데 8,000만여건은 대출중개업자 등에게 넘어간 것으로 밝혀져 국민적 공분을 샀다.
카드사들은 재판 과정에서 "KCB 직원이 개인적으로 저지른 범죄이고 우리는 오히려 피해자"라고 주장했지만 법원은 이를 받아들이지 않았다. 카드사들이 USB를 통한 유출을 막을 수 있는 보안 프로그램을 설치하지 않았고 고객정보를 암호화하지 않고 KCB 직원에게 넘기는 등 개인정보보호법이 요구하는 정보보호 의무를 소홀히 했다는 것이다.
피해자들은 배상액수로 적게는 20만원, 많게는 70만원을 요구했으나 재판부는 실질적인 재산상 피해가 확인되지 않은 점 등을 이유로 배상액을 10만원으로 제한했다.
이날 판결은 다른 정보 유출 피해자들이 카드3사를 상대로 진행하고 있는 손해배상소송에도 영향을 줄 것으로 전망된다. 현재 전국에서 진행 중인 소송은 100여건, 원고 수는 10만명에 이르는 것으로 추산된다.
피해자들을 대리한 법무법인 바른 관계자는 "카드사의 책임이 인정된 것은 다행이지만 신용카드 유효기간 등 핵심정보가 유출된 피해자 등에게까지 배상액수를 10만원으로 제한한 것은 아쉽다"고 말했다. NH농협카드 관계자는 "판결을 겸허히 받아들이며 앞으로 대응 방안을 철저히 검토할 것"이라고 밝혔다.
