KT 고객정보 유출 사건 대법원 판결을 바탕으로, 인터넷 서비스 회사가 개인정보 유출에 대해 어떤 책임을 지는지, 어떤 경우 책임을 면할 수 있는지 알아보겠습니다.
사건의 개요
KT와 인터넷 서비스 이용계약을 맺은 이용자들의 개인정보가 해킹으로 유출되는 사고가 발생했습니다. 이에 이용자들은 KT를 상대로 손해배상 소송을 제기했습니다.
법원의 판단
1심과 2심 법원은 KT의 손을 들어주었고, 대법원도 원심 판결을 확정했습니다.
핵심 쟁점: 개인정보 보호조치 의무 위반 여부
이 사건의 핵심은 KT가 개인정보 보호를 위해 충분한 조치를 취했는지 여부였습니다. 법원은 다음과 같은 기준으로 판단했습니다.
법률과 계약상 의무: 인터넷 서비스 회사는 법(구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제28조 제1항)과 이용계약에 따라 개인정보 보호에 필요한 조치를 취해야 합니다.
합리적인 보호조치 기준: 법원은 당시 정보보안 기술 수준, 회사 규모, 취해진 보안조치 내용, 비용 대비 효용, 해킹 기술 수준 등을 종합적으로 고려하여 사회통념상 합리적으로 기대 가능한 수준의 보호조치를 했는지 판단합니다.
'개인정보 보호조치 기준' 고시 준수: 방송통신위원회가 고시한 '개인정보의 기술적·관리적 보호조치 기준'(방송통신위원회 고시 제2011-1호)을 준수했다면 특별한 사정이 없는 한 법률상 의무를 위반한 것으로 보기 어렵습니다.
KT는 왜 책임을 면했을까요?
법원은 KT가 위 고시에서 정한 기술적·관리적 보호조치를 충분히 이행했다고 판단했습니다. 원고들은 KT가 접속 권한 제한, 퇴직자 계정 관리, 접속 기록 확인, 정보 암호화 등에서 미흡했다고 주장했지만, 법원은 이를 받아들이지 않았습니다. KT가 취한 조치들이 당시 기술 수준과 상황에 비추어 합리적인 수준이었다는 것입니다.
판결의 의의
이 판결은 인터넷 서비스 회사의 개인정보 보호 의무 위반 여부를 판단하는 기준을 제시했다는 점에서 중요한 의미를 가집니다. 단순히 해킹 사고가 발생했다는 사실만으로 회사에 책임을 묻는 것이 아니라, 회사가 기울인 노력과 당시 상황 등을 종합적으로 고려해야 한다는 점을 분명히 한 것입니다.
참고 법조항 및 판례
민사판례
KT 고객들의 개인정보가 해킹으로 유출된 사건에서, KT가 정부의 개인정보 보호조치 기준을 지키지 않아 정보 유출 사고가 발생했다고 본 원심 판결을 대법원이 뒤집고, KT가 기준을 충족했다고 판단하여 사건을 다시 심리하도록 돌려보냈습니다.
민사판례
해커가 포털사이트 직원의 아이디와 비밀번호를 훔쳐 개인정보를 유출한 사건에서, 포털 운영사가 직원들에게 로그아웃을 강제하지 않았더라도 해킹 피해와 직접적인 인과관계가 없다고 판단하여 운영사의 책임을 묻지 않은 판례.
일반행정판례
KT의 홈페이지 해킹으로 인한 개인정보 유출 사건에서, KT가 개인정보 보호조치 의무를 위반했는지 여부와 과징금 부과의 적법성에 대한 판결입니다. 대법원은 KT가 사회통념상 합리적으로 기대 가능한 보호조치를 했으므로 의무 위반이 없다고 판단하여, 과징금 부과처분을 취소한 원심판결을 확정했습니다.
민사판례
2008년 옥션 해킹 사건에서 옥션과 보안관제업체는 개인정보 보호 의무를 위반하지 않았다는 대법원 판결. 당시의 기술 수준, 기업 규모, 보안 조치의 적정성 등을 고려했을 때 사회통념상 합리적인 수준의 보호 조치를 했다고 판단.
민사판례
롯데카드가 외주 업체 직원의 개인정보 유출로 인해 손해배상 책임을 부담한다는 판결. 외주 업체 직원이 롯데카드 사무실에서 작업용 하드디스크에 저장된 고객 개인정보를 몰래 빼돌려 제3자에게 넘긴 사건에서, 롯데카드는 정보 유출 방지 의무를 소홀히 한 책임이 있다고 판단됨.
생활법률
통신사는 개인정보 유출 시 사용자에게 유출 내용, 경위, 최소화 방법, 대응조치, 신고처를 알리고, 정부기관 신고, 피해 최소화 노력, 개인정보 파기, 비밀유지 의무를 지켜야 한다.