[손배] '개인정보 유출' 인터파크, 1인당 10만원씩 배상하라
[손배] '개인정보 유출' 인터파크, 1인당 10만원씩 배상하라
  • 기사출고 2020.11.09 08:45
이 기사를 공유합니다
[중앙지법] "최대접속시간 제한 등 보호조치 안 해"

개인정보 유출 사고와 관련해 인터넷 쇼핑몰인 인터파크에 44억여원의 과징금을 부과한 것은 적법하다는 대법원 판결에 이어 이번에는 피해를 입은 회원들에게 1인당 10만원씩 배상하라는 판결이 나왔다.

서울중앙지법 민사30부(재판장 한성수 부장판사)는 10월 29일 A씨 등 인터파크 회원 2,403명이 "개인정보 유출로 인한 손해를 배상하라"며 인터파크를 상대로 낸 소송(2016가합563586)에서 "피고는 원고들에게 1인당 10만원씩 지급하라"고 판결했다. 법무법인 예율이 원고들을 대리했다.

2016년 5월 5∼6일 인터파크에서 회원들의 개인정보가 유출되는 해킹 사고가 발생, A씨 등이 1인당 30만원씩을 배상하라는 소송을 냈다. 방송통신위원회는 인터파크가 개인정보의 기술적 · 관리적 보호조치 기준을 위반하여 개인정보처리시스템에 최대접속시간 제한 조치 등 접근통제를 소홀히 하였고, 시스템 비밀번호 관리를 소홀히 하였다는 이유로 과징금 44억 8,000만원을 부과하는 등의 처분을 하였고, 이에 인터파크가 과징금 부과처분의 취소를 요구하는 소송을 냈으나, 2020년 3월 패소가 확정됐다.

재판부는 "피고의 DB서버 관리자의 업무용 PC는 2016. 5. 2. 08:06 서버접근제프로그램에 접속한 이후 2016. 5. 9. 08:04까지 약 7일동안 서버접근제어 프로그램에 접속이 유지된 상태로 있었는바, 해커는 위 기간 중 언제라도 HQDB 서버(회원들의 개인정보가 저장된 DB서버)에 추가적인 인증을 하지 않고도 접근할 수 있는 상태였고, 피고는 개인정보취급자의 PC에 10분이 경과하면 자동으로 잠금상태가 되는 설정을 하였으므로 최대접속시간 제한 조치를 한 것이라고 주장하나, PC의 자동잠금 상태만으로는 잠금 상태가 발생하기 전 이루어진 접속까지 차단되는 것은 아니어서 HQDB 서버 접속이 종료된 것으로 볼 수 없으므로 이를 최대접속시간 제한 조치를 한 것이라고 보기는 어렵다"고 지적하고, "피고는 구 정보통신망법 제28조 제1항 제2호, 구 정보통신망법 시행령 제15조 제2항 제5호, 개인정보의 기술적 · 관리적 보호조치 기준(이 사건 보호조치기준) 제4조 제10항에서 정한 최대접속시간 제한 조치를 취하지 않은 것으로 봄이 상당하다"고 밝혔다. 

또 "최초로 감염된 PC에는 내부 서버 및 업무용 PC 등에 접속할 수 있는 공용관리계정의 비밀번호를 평문으로 기록한 파일(파일명 '계정.txt')이 저장되어 있었던 사실, 피고의 NAS(Network Attached Storage, 네트워크 결합 스토리지 시스템) 공유서버에 패스워드관리대장 엑셀 파일이 저장되어 있었는데, 엑셀 파일에 암호가 설정되어 있기는 하였으나 같은 서버에 엑셀 파일의 암호가 평문으로 기록된 파일(파일명 '시스템운영팀문서비밀번호.txt)이 함께 저장되어 있었고, 엑셀 파일에는 개인정보취급자 등이 DB서버, 웹 서버 등에 접속할 때 필요한 비밀번호가 기록되어 있었던 사실을 인정할 수 있다"며 "피고는 개인정보취급자 등의 비밀번호에 관하여 이 사건 보호조치기준 제6조 제1항에서 정한 일방향 암호화 보안조치를 취하지 않았다 할 것이고, 이는 구 정보통신망법 제28조 제1항 제4호 위반에 해당한다"고 밝혔다.

재판부는 손해배상책임의 범위와 관련, "이 사건에서 유출된 원고들의 개인정보에는 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소의 전부 또는 일부가 포함되어 있고, 이는 모두 원고들 개인을 식별할 수 있을 뿐만 아니라 사생활과 밀접한 관련이 있는 것이며, 이를 도용한 2차 피해 발생과 확대의 가능성을 배제하기 어렵고, 피고는 2016. 7. 11.경 원고들의 개인정보가 유출되었음을 인지하였음에도 그로부터 14일 후인 2016. 7. 25.에야 비로소 원고들에게 이를 통지하여, 원고들이 개인정보 유출에 신속히 대응할 수 있는 기회를 상실케 하였다"고 밝혔다. 다만, "유출된 원고들의 개인정보 중 비밀번호는 이 사건 보호조치기준 제6조 제1항에 따라 일방향 암호화된 것으로 보이고, 현재까지 원고들의 개인정보가 불특정 다수인에게 공개 또는 열람할 수 있는 상태에 놓였다거나 원고들의 명의가 도용되는 등으로 원고들에게 개인정보의 유츌로 인한 추가 법익침해가 발생하였다고 볼 자료는 제출되지 않았으며, 파일형태로 보관 · 처리되는 개인정보의 유출방지가 기술적으로 완벽할 것을 기대하기는 어려운 반면, 기업이 소비자에게 유익한 서비스를 제공함에 있어 부득이 고객의 일정한 개인정보를 수집 · 보관하는 것이 필요한 현실적인 제약이 있다"며 피고의 손해배상액을 1인당 각 10만원으로 정했다.

리걸타임즈 김덕성 기자(dsconf@legaltimes.co.kr)

Tag
#인터파크 #개인정보 #유출 #최대접속시간 #보호조치
저작권자 © 리걸타임즈 무단전재 및 재배포 금지
김덕성
리걸타임즈다른기사 보기