쿠팡 정보유출 사건이 역대 최대 규모의 집단소송으로 기록될 가능성이 커지고 있다. 과거 싸이월드, KT 등의 정보유출 소송은 하급심에서 일부 인정됐던 손해배상 책임이 대법원에서 최종 패소로 확정되는 등 판단이 엇갈렸다. 반면 2014년 카드 3사의 정보유출 사건에서는 원고 1명당 최대 10만원의 배상 판결이 확정됐다. 쿠팡을 상대로 한 소송에서도 법에 규정된 정보보호 의무뿐 아니라 더 적극적인 보호 의무를 이행했는지가 주요 쟁점으로 다뤄질 전망이다.
2일 법조계에 따르면 2011년 네이트·싸이월드를 운영하던 SK커뮤니케이션즈(SK컴즈)의 정보유출 관련 손해배상 소송 1심에서는 원고 일부 승소, 원고 패소 판결이 뒤섞여 나왔다. 당시 SK컴즈는 해킹으로 회원 약 3500만명의 개인정보를 도난당했다.
쟁점은 SK컴즈가 ‘자동 PC 로그아웃’ 등 법령에 정해진 수준을 넘어 적극적인 보호 방안을 도입하지 않은 것을 주의의무 위반이라고 볼 수 있는지였다. 원고 일부 승소 판결을 한 재판부는 SK컴즈가 로그아웃되지 않은 PC를 방치한 점 등이 보호조치 의무 위반이라고 판단했다. 대법원도 사회 통념상 합리적으로 기대할 수 있는 보호조치를 취하지 않았다면 배상 책임을 져야 한다는 점은 인정했다. 하지만 대법원은 로그아웃이 됐더라도 해커가 서버에 접속할 수 있었던 점 등을 토대로 배상 책임은 인정하지 않았다.
2012년 KT에서 870만명의 고객정보 유출 사건이 발생했을 때도 판단은 엇갈렸다. 이 사건의 경우 대리점 관계자가 정보 탈취에 가담하면서 내부전산망을 통해 정보가 유출됐다. 1심은 KT가 이러한 방식의 사고에 대비하지 않아 주의의무를 위반했다고 보고 1명당 10만원씩 배상하라고 판결했다. 하지만 2심은 법령상 보호조치를 이행했음에도 정보유출이 발생해 책임을 물을 수 없다면서 판단을 뒤집었고 이 판결은 대법원에서 확정됐다.
반면 2014년 NH농협·KB국민·롯데카드에서 1억400만건의 개인정보가 유출된 사건에서는 카드사가 1명당 최대 10만원을 배상하라는 판결이 확정됐다. 이 사건도 용역을 맡긴 직원이 하드디스크를 포맷하지 않은 채 몰래 빼내서 정보를 유출한 일종의 내부자 사건이다. 하지만 대법원은 이 경우엔 카드사가 하드디스크 수량을 파악하거나 포맷 작업을 감독하지 않은 것 등이 주의의무 위반에 해당한다고 봤다.
향후 쿠팡의 배상 책임은 결국 법령상 정보보호 의무를 모두 수행했는지와 더불어 적극적인 보호 조치로 주의의무를 다했는지 등에 따라 판단될 전망이다. 김형중 고려대 정보보호대학원 교수는 “쿠팡이 퇴직자의 서명키를 제대로 관리했는지, 비정상적인 접근을 왜 걸러내지 못했는지 등을 확인해야 한다”고 말했다. 쿠팡 관련 집단소송을 대리하는 곽준호 법무법인 청 변호사는 “퇴직자가 방대한 정보에 접근할 수 있었다는 것만으로도 관리상 소홀이 인정되는 것으로 보인다”며 “소비자에게 충분한 배상이 돌아갈 수 있도록 징벌적 손해배상 등도 고려할 필요가 있다”고 밝혔다.
양한주 기자 1week@kmib.co.kr