[기사 수정 : 21일 오후 6시 10분] 1억580만건으로 사상 최대규모인 KB국민카드, NH농협카드, 롯데카드의 개인정보 유출 사건 피해자들의 소송 움직임이 본격화되고 있다. 신용등급·카드사용금액 등 민감한 정보까지 유출된 것에 대해 분노를 넘어 소송 참여 움직임이 확산되고 있다.
법무법인 조율은 지난 20일 피해자 130명의 위임을 받아 3개 카드회사를 상대로 손해배상소송을 제기했다. 정보를 유출한 카드회사당 60만원씩, 3개 회사 중 2개 회사에서 개인정보가 유출됐다면 총 120만원을 배상하라는 내용이다. KT의 870만명 개인정보 유출 사고 당시 손해배상소송을 진행한 법무법인 평강과 이흥엽 법률사무소 등도 원고를 모집하고 있다.
<오마이뉴스>기자의 경우 KB국민카드에서 성명·이메일·휴대전화·직장전화·자택전화, 주민번호·직장주소·자택주소·직장정보·주거상황·카드이용실적금액(타사 포함)·카드결제계좌·카드결제일·연소득·카드신용한도금액(타사 포함), 카드신용등급이 유출됐다. NH농협카드에선성명·주민번호·휴대폰번호·자택전화번호·직장전화번호·이메일·자택주소·직장주소·직장정보·카드번호·유효기간·카드정보·결제정보·신용한도·연소득 정보가 유출됐다.
기본적인 개인정보뿐 아니라 재정상황마저 모두 탈탈 털린 셈인데 '나도 손해배상소송 원고로 참여해볼까?'라는 생각이 든다. 먼저 그동안 제기됐던 몇가지 개인정보 유출 사건 손해배상 소송의 결과를 살펴봤다.
리니지2, 옥션, 싸이월드...엇갈리는 개인정보유출사건 판결들2005년 엔씨소프트의 온라인게임 '리니지2'는 회원 계정과 비밀번호를 암호화하지 않고 서버에 저장했다가 일부 아이디와 비밀번호가 도용당할 뻔 했다. 이와 관련해 3건의 손해배상소송에서 엔씨소프트가 총 38명의 원고들에게 각각 10만원씩 배상하도록 하는 판결이 확정됐다. 2009년 대법원은 아이디와 비밀번호는 개인정보가 아니라고 판단했지만, 엔씨소프트측이 아이디와 비밀번호를 유출하지 않겠다는 약관을 위반한 데에 따른 원고들의 정신적인 피해를 인정해 배상하도록 했다.
이와 상반된 결과는 2008년 옥션 해킹 사건에 대한 손해배상소송에서 나타났다. 해킹으로 회원 1860만명의 계정·이름·주민번호·이메일·집주소·전화번호가 털렸는데 1·2심은 회사측이 보안을 위해 최선을 노력을 한 점을 고려해 옥션의 배상책임이 없다고 판단했다. 현재 원고가 2만여명에 이르는 이 사건은 대법원 판결이 남아 있다.
2011년 네이트·싸이월드가 해킹을 당해 3500만명의 회원 3500만명의 계정과 이름, 휴대폰번호, 이메일 주소, 암호화된 비밀번호, 암호화된 주민번호가 털렸다. 지난해 2월 네이트·싸이월드 개인정보 유출 피해자 2882명이 SK커뮤니케이션즈를 상내로 낸 소송에서 서울서부지법은 SK커뮤니케이션즈가 원고 1인당 위자료 20만원씩 지급하라고 판결했다. 그러나 다른 피해자 2847명이 국가와 SK커뮤니케이션즈에 낸 손해배상 소송, 또 다른 피해자 9명이 SK커뮤니케이션즈를 상대로 낸 손해배상 소송에선 모두 배상책임이 없다는 판결이 나왔다.
'개인정보가 유출됐다고 무조건 배상하는 건 아니구나'라는 생각이 드는 대목이다.
법을 잘 모르니, 변호사들의 의견을 들어봤다. 모두 15년 이상 민·형사 사건을 맡아 활발하게 활동하고 있는 이들로, 이번 유출 사건 관련 소송을 진행할 계획이 없는 변호사들이다.
변호사들 "유출 정보 매우 민감"...카드사 책임 입증엔 의견 엇갈려일단 카드 3사에서 유출된 정보가 이전의 다른 유출사건들에 비해 '민감한 정보'여서 유출사실 자체가 매우 중하게 다뤄질 거라는 데에는 의견이 일치했다. 주민등록번호, 전화번호와 주소 등의 범위를 벗어나 주거상황과 연소득 등 개인의 재정상황, 카드이용실적금액과 한도금액, 신용등급 등 개인의 신용정보가 유출된 건 이전의 유출사고와는 비교도 안되게 중하다는 것이다. 따라서 유출 정보를 악용한 사기 등 2차 피해가 없다 해도 정신적 피해에 대한 배상의 필요성은 충분하다는 데에 의견이 일치했다.
의견이 엇갈리는 부분은 법정에서 카드사의 책임을 입증하는 부분이었다. A변호사는 "무조건 이긴다"고 했다. 그는 "검찰의 중간수사 발표로 보자면, 용역업체 직원이 USB메모리를 갖고 그런 중요한 정보들을 빼낼 정도로 보안이 허술했다는 것이니 각 카드사의 불법행위를 입증하는 것은 어려워 보이지 않는다"고 설명했다.
그러나 B변호사는 "너무 낙관적인 예상을 내놓으면서 고객을 끌어모으긴 무리가 있다"고 했다. 그는 "'USB로 빼냈다'는 검찰 중간수사 발표 내용만 봐선 각 카드사가 개인정보를 다루는 용역업체에 대해 어떤 보안조치를 하고 있었는지가 드러나지 않는다"고 말했다. 카드사들이 정보유출을 막기 위해 최선의 노력을 다 했고, 유출한 용역업체 직원이 예상할 수 없는 방법으로 범행을 저질렀다면 법정에서 정보유출에 대한 카드사의 책임을 입증하지 못할 수도 있다는 설명이다.
B변호사는 "이 사건의 공소시효는 정보가 유출된 사실을 안 날로부터 3년까지"라며 "검찰의 최종 수사결과 발표를 통해 개인정보가 어떤 방법으로 유출됐는지 소상하고 구체적으로 알려진 뒤에 소송 참여를 판단해도 늦지 않겠다"고 조언했다.