2014년 카드사 고객정보 대량 유출 사태와 관련, 농협카드를 발행한 농협은행이 정보유출 피해자들에게 1인당 10만원씩 물어주라는 판결이 또 나왔다. 이에 앞서 서울남부지법은 2017년 2월 롯데카드에게, 서울중앙지법은 2016년 6월 농협은행에게 피해자 1인당 10만원씩의 배상책임을 인정했다. 서울중앙지법은 2016년 1월에도 KB국민카드와 농협은행에게 피해자 1인당 10만원씩의 배상책임을 인정했다.

서울서부지법 민사12부(재판장 이원신 부장판사)는 9월 12일 가 모씨 등 고객 7831명이 농협은행과 신용정보업체인 코리아크레딧뷰로(KCB)를 상대로 낸 손해배상청구소송(2014가합31226 등)에서 "피고들은 연대하여 5541명에게 위자료로 1인당 10만원씩 배상하라"고 판결했다. 2290명에 대해서는 "제출 증거들만으로는 이번 사고로 카드고객정보가 유출되었다고 보기에 부족하다"며 청구를 기각했다.

농협은행은 2012년 5월 KCB와 신용카드 도난 · 분실과 위변조 등으로 인한 이상 거래 또는 부정 사용을 탐지하는 카드사고분석시스템(FDS)을 업그레이드하기 위한 개발용역계약을 체결, KCB의 프로젝트 총괄 매니저 박 모씨 등이 FDS 개발작업을 수행했다. 박씨는 그러나 2012년 6월과 10월경 두 차례에 걸쳐 농협은행의 업무용 컴퓨터에 저장된 약 2431만명과 2511만명의 카드고객정보를 자신의 USB에 저장한 뒤 외부로 갖고 나와 대출중개 영업 등에 활용할 의도를 가지고 있는 조 모씨에게 전달했고, 조씨는 다시 대부중개업체에 전달, 고객정보가 유출됐다. 박씨는 또 농협은행에서의 FDS 개발 프로젝트가 마무리되어 철수할 무렵인 2012년 12월경 박씨의 노트북에 저장되어 있던 약 2259만명의 카드고객정보를 자신의 USB에 저장한 후, 조씨가 가지고 있는 카드고객정보를 최신 것으로 갱신해 주기 위해 2013년 2월경 조씨의 컴퓨터에 저장해 주기도 했다.

유출된 개인정보에는 성명, 주민등록번호, 휴대전화번호, 자택전화번호, 직장전화번호, 이메일, 자택주소, 직장주소, 직장정보, 카드번호, 유효기간, 카드정보, 결제정보, 신용한도, 연소득 중 전부 또는 일부가 포함되어 있었다. 이에 가씨 등이 1인당 위자료 50만원씩을 지급하라며 농협은행 등을 상대로 소송을 냈다. 한편 박씨는 농협은행을 비롯한 카드회사들의 고객정보를 침해 · 누설함과 동시에 신용정보 관련자로서 업무상 알게 된 타인의 신용정보를 누설한 혐의로 기소되어 2014년 10월 징역 3년이 확정됐다.

재판부는 "농협은행은 2012년 6월경과 10월경 카드고객정보 유출사고와 관련하여 개인정보처리자 또는 전자금융업자가 개인정보 내지 이용자정보 보호를 위하여 준수하여야 할 법령상 의무를 위반함으로써 관련 원고들의 개인정보가 포함된 카드고객정보가 유출되는 사고의 원인을 제공하였으므로, 농협은행은 민법 750조, 756조와 개인정보 보호법 39조, 정보통신망법 32조에 따라 카드고객정보 유출사고로 인하여 원고들이 입게 된 손해를 배상할 책임이 있다"고 밝혔다.

재판부는 다만 2012년 12월경 유출사고에 대해서는, "KCB는 신용정보의 이용 및 보호에 관한 법률에서 정한 신용조회와 신용조사업무 등의 사업을 영위하는 주식회사로서 농협은행을 비롯한 대부분의 금융기관 고객들의 신용정보를 직접 수집 · 관리하고 있고 이와 같이 취합한 CPS(Credit Profile Service)정보를 다시 FDS를 운용하는 신용카드 회사들에게 정기적으로 제공하여 왔던 사실, 박씨는 2012년 12월경 카드고객정보 유출범행 이전인 2012년 11월 9일경 농협은행의 FDS 개발작업을 위하여 KCB에게 농협은행 카드고객 약 2259만명의 CPS정보 제공을 요청하여 이를 수령한 다음 FDS 개발작업에 사용하다가 2012년 12월경 이 CPS정보(농협은행이 보유 · 관리하고 있던 것이 아니다)를 유출한 사실이 인정된다"고 지적하고, "2012년 12월경 유출된 피고 농협은행 고객 약 2259만명의 카드고객정보가 농협은행이 보유 · 관리하던 정보라거나 농협은행이 FDS 개발작업을 위하여 KCB에게 제공한 카드고객정보라고 단정하기 어려워 박씨가 KCB 측에 요청하여 제공받은 CPS정보와 관련하여서도 농협은행이 개인정보 보호 관련 법령이 정한 안전조치 등 의무를 부담한다고 할 수는 없고, 농협은행의 FDS 개발과정에서 박씨가 KCB에 요청하여 받은 CPS정보를 유출하였다고 하여 농협은행에게 유출사고에 관하여 고의 · 과실이 있다거나 해당 정보의 관리에 관하여 농협은행이 KCB나 박씨에 대한 사용자의 지위에 있다고 할 수 없다"며 농협은행의 책임을 인정하지 않았다.

재판부는 KCB에 대해서도, "KCB는 박씨에 대한 사용자로서 민법 756조 1항에 따라 농협은행과 공동하여 원고들에게 그로 인한 손해를 배상할 책임이 있고, 개인정보 보호법령이 요구하는 안전성 확보에 필요한 기술적 · 관리적 및 물리적 조치를 취하지 않았다고 봄이 상당하므로, 불법행위를 원인으로 농협은행과 공동하여 원고들에게 그로 인한 손해를 배상할 책임이 있다"고 판시했다.

재판부는 "유출된 원고들의 카드고객정보는 전파와 확산과정에서 이미 제3자에 의해 열람되었거나 앞으로 열람될 가능성이 커 원고들에게는 사회통념상 카드고객정보 유출사고로 인한 정신적 손해가 현실적으로 발생하였다고 봄이 타당하다"고 지적하고, ▲유출된 개인정보에는 각 개인에게 유일하고 영구적이며 일신전속적인 성격을 지닌 주민등록번호가 포함되어 있고, 이를 도용한 2차적 피해 발생과 확대의 가능성을 배제하기 어려운 점 ▲다만 이 사건에서 유출된 카드고객정보의 내역이나 이를 취득한 사람들의 카드고객정보 취득목적 등에 비추어 유출된 카드고객정보를 이용한 카드 위 · 변조나 부정사용으로 인한 재산적 손해가 발생할 가능성은 그리 크지 않아 보이고, 현재까지 그와 같은 구체적인 재산상 피해가 실제로 발생한 사례는 확인되지 않고 있는 점 ▲이 사건에서 유출된 카드고객정보가 불특정 다수인에게 공개되었거나 열람할 수 있는 상태에 놓였던 것은 아니고 특정한 목적(대출 영업)을 보유한 사람들에게 제한적으로 전파된 것으로 보이는 점 ▲현실적으로 파일형태로 보관 · 처리되는 개인정보의 유출방지가 기술적으로 완벽할 수는 없는 반면, 오늘날 기업이 소비자에게 유익한 서비스를 제공함에 있어 부득이 고객 개인정보를 수집 · 보관하는 것이 필수적인 경우가 많아 소비자로서도 이와 같은 위험을 어느 정도 감수할 수밖에 없다는 점 등을 고려해 위자료 액수를 1인당 10만원으로 정했다.

법무법인 평강이 원고들을, 농협은행은 김앤장, KCB는 법무법인 광장이 대리했다.

리걸타임즈 김덕성 기자(dsconf@legaltimes.co.kr)