최근 반복되는 개인정보 유출에 대한 집단 소송이 잇따르고 있다. 카드사 대상의 손해배상소송이 진행되고 있는 가운데, 경제정의실천시민연합(경실련)이 18일 KT를 상대로 정보가 유출된 고객 1인당 100만원을 손해배상하라며 공익소송을 제기했다.
경실련 소비자정의센터 윤철한 국장은 “KT가 본인인증기관이라는 점, 카드번호 등 민감한 정보가 대거 포함됐다는 점, 이용자에게 매달 요금을 받는다는 점, 초보적인 수준의 해킹 프로그램을 방어하지 못했다는 점에서 여느 개인정보 유출 사건보다 문제가 심각하다”며 “회사 측 과실이 명확한 만큼 승산이 있다”고 말했다.
이어 “최근 계속되는 대규모 개인정보 유출을 더 이상 관망만 할 수 없다”며 “기업의 개인정보보호 책임을 강화하기 위해 소비자가 나서야 한다”고 목소리를 높였다.
지난 1월 국민카드·롯데카드·NH농협카드 등 3개사의 1억500만건에 달하는 개인정보 유출 사건과 관련한 공익소송이 줄을 잇고 있는 만큼, 과거와는 달리 재판부가 소비자의 손을 들어줄 가능성이 높아졌다는 게 관계자들의 분석이다.
이전에는 기업이 보안시스템을 충분히 구축했음에도 불구하고 개인정보가 유출됐다고 판단한 경우, 회사 측 과실을 인정하지 않는 판례가 많았다. 지난 2008년 중국인 해커가 옥션의 개인정보를 해킹, 14만명이 집단소송을 냈으나 법원은 옥션의 손을 들어줬다. 법령이 요구하는 기술적 보안 수준을 지켰다는 이유에서다. 같은 해 GS칼텍스 고객정보운영 위탁업체 직원이 1151명의 고객정보를 빼돌렸을 때도, 2011년 게임사 넥슨이 ‘메이플 스토리’ 서버를 해킹당해 1320만명의 고객 정보를 털렸을 때도 재판부는 사고와 피해자의 인과관계를 인정하지 않았다.
그러나 정보유출 피해자의 손을 들어준 사례도 있다. 2005년 엔씨소트프가 리니지2 업데이트 중 고객 아이디와 비밀번호를 유출한 사건에서 대법원은 피해자 1인당 10만원의 위자료를 지급하라고 명령했다. 당시 재판부는 “정보 유출로 고객의 구체적인 피해 사례가 없는 경우에도 기업은 고객에게 위자료를 지급해야 한다”고 판시했다. 지난 2007년 국민은행은 고객에게 복권 구매 안내 메일을 발송하다 개인정보를 유출해 법원으로부터 당사자들에게 20만원씩 배상하라는 판결을 받았다. 2006년 LG전자 입사 지원에서 탈락한 지원자가 입사지원 사이트를 해킹한 사건과 2011년 SK컴즈의 네이트·싸이월드 개인정보 유출사건에서도 재판부는 회사 측 배상판결을 내렸다.
SK컴즈 개인정보유출 소송을 이끈 김경환 민후 변호사는 “법원이 기업의 편에 서는 것은 개인정보 유출 등 IT보안 사태를 더욱 악화시키는 것”이라며 “외국처럼 개인정보를 유출한 기업에게는 인과관계가 명확하지 않아도 징벌적 과징금을 부과해야 한다”고 강조했다.