KT 휴대전화 가입자 870만여명의 개인정보 유출 사고로 손해배상소송을 내 1심에서 일부 승소한 피해자들에 대해 최근 항소심 법원이 엇갈린 판결을 내놓고 있어 정보유출 과정에 기업의 과실을 어느 선까지 인정해야 하는지에 대한 대법원 판단이 주목된다.
세계일보에 따르면 KT는 2012년 2∼7월 해킹 사고로 가입자 개인정보가 유출된 사실을 뒤늦게 확인했다. 당시 해커 2명은 KT 고객정보 조회시스템에 접근할 수 있는 해킹 프로그램을 개발해 이름, 전화번호, 주민번호에 신용정보까지 빼낸 것으로 드러났다. 하지만 KT는 5개월 동안 이런 사실을 파악조차 하지 못했다.
이를 놓고 올해 초 강모씨 등 피해자 341명이 KT를 상대로 낸 소송에서 서울고법 민사10부는 “피해자들에게 10만원씩을 지급하라”는 1심 판결을 취소하고 KT의 손을 들어줬다는 것이다.
이번 판결의 쟁점은 KT의 정보관리에 관한 ‘주의의무 위반’ 여부인데, 피해자들은 KT가 △대리점 직원 퇴직 후 접근권한을 즉시 말소하지 않아 해킹이 가능했던 점 △KT가 주기적인 점검(모니터링)을 하지 않은 점 등을 근거로 들었다는 것이다. 이는 모두 법령에 정해진 사항으로 이 정도 주의의무만 제대로 실천했다면 정보 유출을 피할 수 있었다는 주장이다.
하지만 재판부는 해킹 프로그램이 퇴직자 계정을 이용해 만들어진 사실 등은 인정하면서도 이에 대한 KT의 책임을 인정하지 않은 것으로 알려졌다.
서울고법은 “피고가 퇴직자 계정을 말소하지 않았다고 해도 이 사건 정보유출 사고의 발생과는 인과관계가 없다”고 판단했고, KT가 주기적인 모니터링을 했더라도 피해를 막을 수 있었다고 보긴 어렵다고 본 것이다.
최근 수원지법 민사3부 역시 소비자가 KT를 상대로 낸 손해배상 항소심에서 서울고법과 같은 취지로 1심 판결을 뒤집고 KT의 책임을 인정하지 않았다.
반면 서울중앙지법 민사62부는 지난 달 21일 정보 유출 피해자 강모씨 등 100명이 KT를 상대로 낸 손해배상소송 항소심에서 “KT는 원고들에게 각 10만원씩 배상하라”는 1심 판결을 그대로 유지하며 KT의 책임을 인정했다고 세계일보는 보도했다. 재판부는 KT가 퇴직자 계정을 즉시 말소하지 않아 해킹이 가능했으며, 법령이 정한 대로 한 달에 한번 주기적인 모니터링만 했어도 피해사실을 미리 확인할 수 있었거나 적어도 피해 확산은 막을 수 있었을 것으로 판단한 것이다.
항소심 판단이 크게 엇갈리면서 최종 판단은 대법원에서 이뤄질 전망이다. 앞서 대법원은 2015년 옥션 개인정보유출 사건에서 “업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 업체에 개인정보 유출에 대한 책임을 지우기 어렵다”며 옥션의 손을 들어준 바 있다. 하지만 이 사건에서 KT의 주의의무 위반이 인정된다면 소비자의 정신상 고통에 따른 손해배상 책임을 인정해야 한다는 게 법조계의 중론이라는 것이다.