검색
판결기사 서울중앙지방법원 2016가합563586

"'개인정보 유출 사고' 인터파크, 피해 회원 1인당 10만원씩 배상하라"

서울중앙지법, 원고일부승소 판결

인터파크가 해커에 의한 개인정보 유출 사고와 관련해 피해를 입은 회원들에게 1인당 10만원씩 배상해야 한다는 판결이 나왔다.

 

서울중앙지법 민사30부(재판장 한성수 부장판사)는 A씨 등 2400여명이 인터파크를 상대로 낸 손해배상청구소송(2016가합563586)에서 최근 "인터파크는 회원들에게 1인당 10만원씩 지급하라"며 원고일부승소 판결했다.

 

823.jpg

 

인터넷 쇼핑몰인 인터파크에선 지난 2016년 5월 인적사항을 알 수 없는 해커에 의해 내부 전산망이 해킹 당하는 사고가 발생했다. 이 사고로 인터파크가 관리하고 있던 회원들의 비밀번호와 생년월일, 휴대전화 번호 등 개인정보가 유출됐다. 

 

방송통신위원회는 해커의 공격을 지능형 지속가능 위협(APT)으로 보고, 민관합동조사단을 구성해 인터파크의 개인정보처리시스템 등에 남아있는 접속기록 등을 토대로 개인정보 처리 및 운영 실태를 조사했다. 지능형 지속가능 위협은 해커가 다양한 보안 위협을 만들어 특정 기업이나 조직의 네트워크에 지속적으로 가하는 공격을 말한다. 그 결과 해커는 인터파크 직원의 네이버 계정을 불법적으로 도용해 접속한 뒤 악성코드를 심은 이메일을 보내 컴퓨터를 감염시키고, 회원들의 개인정보가 저장돼 있던 DB서버에 접속해 이를 모두 빼간 것으로 조사됐다. 이에 인터파크 회원 A씨 등은 "1인당 30만원을 배상하라"며 소송을 냈다.

 

재판부는 "정보통신서비스 제공자인 인터파크가 회원들의 개인정보를 보호하기 위해 옛 정보통신망법 등 관련 법령상 어떠한 조치를 해야 하는지 확인하고 이를 이행할 의무가 있음에도 이를 게을리 해 최대접속시간 제한 조치 및 비밀번호의 암호화를 위한 조치를 취하지 않았다"면서 "개인정보 유출을 안 때로부터 24시간 이내에 회원들에게 이를 알리지 않았으므로 인터파크에게 옛 정보통신망법 제28조 등을 위반한 과실이 인정된다"고 밝혔다. 

 

옛 정보통신망법 제28조는 '정보통신서비스 제공자 등이 개인정보를 처리할 때에는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위해 대통령령으로 정하는 기준에 따라 기술적·관리적 조치를 해야 한다'고 규정하고 있다.

 

재판부는 이어 "유출된 회원들의 개인정보는 모두 개인을 식별할 수 있을 뿐만 아니라 사생활과 밀접한 관련이 있어 이를 도용한 2차 피해 발생과 확대의 가능성을 배제하기 어렵다"면서 "인터파크는 같은 해 7월 회원들의 개인정보가 유출됐음을 인지했음에도 그로부터 14일 뒤에야 비로소 이를 통지해 회원들이 개인정보 유출에 신속히 대응할 수 있는 기회를 상실하게 만들었다"고 설명했다.


다만 "회원들의 개인정보가 불특정 다수에게 공개됐거나 명의가 도용되는 등 추가적 법익침해가 발생했다고 볼 자료는 제출되지 않았다"면서 "기업이 소비자에게 유익한 서비스를 제공함에 있어 부득이 고객의 일정한 개인정보를 수집·보관하는 것이 필요한 현실적인 제약을 고려할 때 손해배상액을 1인당 각 10만원으로 정함이 상당하다"고 판시했다.

리걸에듀