[파이낸셜뉴스] 2012년 '870만 정보유출 사고' 에 대해 주식회사 KT가 개인정보 관리·감독을 소홀히 했다고 보기 어려워 고객들에게 손해배상을 할 책임이 없다는 판단이 파기환송심에서 나왔다.
13일 법조계에 따르면 서울중앙지법 민사항소11부(부장판사 김우현 허일승 신한미)는 A씨 등 100명이 KT를 상대로 낸 손해배상 청구 파기환송심에서 이들의 배상 책임이 없다고 판결했다.
재판부는 △해킹 사고 당시 보편적인 정보보안의 기술수준 △해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성 △KT가 취하던 전체적인 보안조치의 내용 △정보유출사고 당시 법령에서 정한 기술적·관리적 보호조치의 내용을 고려하면 KT측의 과실로 정보유출사고가 일어났다고 보기 어렵다고 봤다.
그러면서 "법령상 기술적·관리적 보호조치를 위반했다는 것을 전제로 한 원고 측의 청구는 인정하기 어렵다"며 "KT 측이 고시가 정한 기준을 넘어 더 엄격한 조치를 취해야 할 의무가 있다는 주장 역시 증명이 부족하다"고 덧붙였다.
이 사고는 지난 2012년 컴퓨터 프로그래머 최모씨와 황모씨가 휴대전화 기기변경 등 텔레마케팅 사업을 하기위해 자체 해킹프로그램을 만들고, 약 1000만건의 개인정보를 빼돌리면서 발생했다. 이들은 KT의 우회아이피(VPN)를 이용할 수 있는 대리점에 설치된 원격제어프로그램의 ID와 비밀번호를 받고, 여기에 해킹 프로그램을 설치하는 방법을 사용한 것으로 드러났다.
KT 측은 자회사에 유출사태 여부를 검토해달라고 요청했으나, 5개월간 파악하지 못하다 뒤늦게 수사를 의뢰했다. 이후 KT는 정보유출사고에 대한 사과문을 인터넷 홈페이지에 올렸고, 사건은 수면위로 드러나게 됐다.
2012년 최씨와 황씨는 정보통신방법위반 등 혐의로 기소돼 재판에 넘겨졌고 각각 징역 1년6월을 선고받았다. 이듬해 이 판결은 확정됐다.
이에 A씨 등 100명, B씨 등 341명은 KT의 관리 및 기술적 조치 부실로 정보가 유출됐다며 1인당 50만원씩을 배상하라는 소송을 각각 냈다.
두 소송 모두 1심에선 "KT가 한 사람당 10만원씩을 지급하라"고 원고 일부승소 판결했다. 퇴직자의 개인정보시스템 접근권한 변경, 말소의무, 개인정보처리시스템 접속권한 확인, 감독의무를 게을리하는 등 KT측 과실을 인정했다.
하지만 이들 소송의 2심 판단은 엇갈렸다. A씨 등이 낸 소송 2심에서도 KT의 책임을 인정했다.
rsunjun@fnnews.com 유선준 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지