법원에서는 개인정보유출과 관련한 손해배상 소송에서 기업이 기술·관리적 보호조치를 소홀히 했는지 여부를 중요한 판단기준으로 삼고 있다. 따라서 법원이 유사소송에서 원고 측 손을 들어준 사례는 드물다.
2011년 SK컴즈의 네이트 및 싸이월드가 해커의 공격을 받아 회원 3500만명의 아이디와 이메일, 주민등록번호 등이 포함된 개인정보가 유출된 사례가 대표적. 법원은 SK컴즈가 "해킹의 수법, 해킹 방지 기술의 한계 등을 고려할 때 기술적 관리를 소홀히 했다고 보기 어렵다"며 대부분 배상 책임이 없다고 봤다.
GS칼텍스 사건, 옥션 개인정보 유출 사건 사건도 "추가피해가 발생하지 않았고, 회사측 과실이 없다"며 소송이 기각됐다. 2007년 피해 당사자 1인당 20만원의 배상판결이 나왔던 국민은행 개인정보유출 사건은 명백한 과실이 인정됐던 경우다.
국민은행은 인터넷 복권 통장 가입 고객 중 3개월간 접속을 하지 않은 3만2277명의 회원들에게 복권 구매 안내메일을 발송하면서 메일 발송대상인 고객들의 명단을 파일로 첨부했다. 이 파일에는 고객의 이름과 주민번호, 이메일 주소가 그대로 포함돼 있었으며, 피해자들은 위자료를 청구하는 소송을 냈다.
개인정보가 유출된 KT 고객 1인당 10만원을 지급하라는 서울중앙지법의 이번 판결은 아직 1심이기 때문에 최종 결과를 예단하기는 이르다.
하지만 1심 재판부의 이 같은 판결은 기업이 정보가 누출되는 것을 막기 위한 의무를 다하지 못했다는 판단에 근거하고 있다. 재판부는 "KT가 영업시스템 관리를 소홀히 한 것이 정보유출 사고의 발단이 됐다"고 판시했다.
이에 대해 KT측은 "법령에서 정한 보안사항을 준수한 상황에서 발생한 불가항력적 사고였다"며 항소 절차를 밟고 있다. 이에 따라 향후 전개될 KT의 후속 법정공방은 기업의 과실 여부가 최대 쟁점이 될 전망이다.
법조계 안팎에서는 KB국민카드·NH농협카드·롯데카드 등 카드 3사를 상대로 제기된 개인정보 유출소송도 기업 과실 입증 여부가 승패의 기준이 될 것으로 보고 있다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]