[보도자료] [경실련 소비자정의센터] 경실련, KT 개인정보유출 피해자 2,796여면 손해배상 청구소송 제기

[광명경실련]

110-809 서울/종로/동숭50-2 (전화)02-765-6400 (전송)02-741-8564 www.ccej.or.kr/ @cyberngo / ccejustice ▪공동대표 : 임현진 선월몽산 최정표 최인수 ▪상임집행위원장 : 김호균 ▪정책위원장 : 채원호 ▪사무총장 : 고계현
수 신 :		각 언론사 경제․사회부, NGO담당기자
발 신 :		경실련 소비자정의센터
문 의 :		경실련 소비자정의센터 윤철한 팀장, 박지호 간사 T. 010-4944-6347
시행일 :		2014. 6. 26.(목)
제 목 :		<보도자료> 경실련, KT 개인정보유출 손해배상 청구소송 제기 (총 2매)

경실련, KT 개인정보유출 피해자 2,796여명

손해배상 청구소송 제기

- KT에 유출 피해 고객에 대한 위약금 없는 해지 요청 -

경실련 소비자정의센터(대표 김성훈)는 26일(목) 오전10시, KT 광화문 사옥 앞에서 개인정보 유출 사건에 대한 KT의 책임을 직접 묻고자 개인정보 유출 피해자 2,796여명의 손해배상 청구소송을 제기하며 기자회견을 개최했다. 기자회견을 통해 경실련은 KT는 안일한 개인정보 인식과 허술한 기술적 보안조치로 인한 피해 고객에게 진심어린 사과를 하고, 책임감 있는 자세로 소송에 임 할 것을 촉구했다.

또한 개인정보 유출사고가 끊이지 않는 것은 완벽한 보안시스템의 부재에서 비롯된 것이 아닌, 고객 개인정보에 대한 안일한 인식으로 대처하고 있는 기업에 그 원인이 있다고 이야기했다. 특히 KT 개인정보 유출 사건은 홈페이지에 특정인이 반복적으로 접속하는 비정상적 접근을 차단하지 못했고, 일부 개인정보는 암호화조차 되지 않았을 정도로 그 책임이 KT에 있음이 명확하다고 지적했다.

이와 함께, KT에 서비스 해지를 원하는 피해 고객에게 위약금을 부과하는 행위를 중단할 것을 요구했다. 자사 약관에 ‘회사의 귀책 사유인 경우’ 위약금을 면제토록 명시되어 있음에도 불구하고, 계속해서 피해 고객들에게 위약금을 부과하는 것은 부당한 처사이기 때문에, KT는 개인정보 유출 고객의 해지 신청에 위약금을 부과하지 않고 피해 고객의 불편함을 최소화 시키기 위한 노력을 기울여야 한다고 이야기했다.

마지막으로 규제기관인 방송통신위원회 KT의 개인정보보호 법규 위반에 대한 행정처분을 내리고 향후 비슷한 일이 일어나지 않도록 개인정보 수집의 제한을 강화해야 할 것을 촉구했다. 명확하지 않은 이유로 행정조치를 유보가 아닌 국민들이 공감할 수 있는 행정처분을 통해, 기업의 무분별한 개인정보 수집을 방지하고 안일한 개인정보 보호 인식을 개선하는데 기여해야 할 것을 요구했다.

 

경실련 소비자정의센터

별첨 1. 기자회견문

<기자회견문>

KT개인정보 유출 손해배상 청구소송 제기

“KT의 책임 있는 자세와 방통위의 원칙적이고 강력한 조치를 요구한다.”

1,200만 건, 982만 명의 KT고객정보가 유출된 지 3개월이 지났다. 하지만 공식사과는 말뿐, KT는 피해 고객을 위한 아무런 대책을 내놓고 있지 않다. 오히려 책임이 없다며 위약금까지 부과하는 뻔뻔함을 보이고 있다. 이에 경실련은 KT의 잘못에 대한 직접적인 책임을 묻고자 피해자 2,796명이 참가하는 손해배상 청구소송을 제기한다. 손해배상금은 1인당 100만 원, 총 27억 9,600만 원이다.

정보화가 급속히 진행되고 개인정보가 중요한 경쟁력이 됐다. 개인정보가 돈인 것이다. 정부나 기업, 심지어 동네 구멍가게까지 마구잡이로 정보를 수집했다. 기업은 서비스나 콘텐츠 개발 노력보다 이벤트나 혜택을 빌미로 개인정보 수집에 몰두했다. 기업이 개인정보를 사유화하고 상품화한 것이다.

반면 개인정보 유출로 인한 불이익이 적어 정보 보호를 위한 투자는 게을리 했다. 수많은 개인정보 유출에도 불구하고 대부분의 기업은 아무런 책임을 지지 않았다. 피해자인 소비자들의 희생만 강요되고, 개인정보를 보호해야할 원칙은 행정편의나 경쟁력 강화를 이유로 철저히 무시됐다. 반복되는 KT개인정보 유출은 잘못된 사회적 환경과 더불어 기업의 안이한 개인정보 인식, 허술한 보안시스템이 만들어낸 결과이다.

KT는 지난 2012년에도 5개월에 걸쳐 870만 명의 개인정보가 유출됐지만, 사회적 비용부담이 크지 않아 보안 강화 노력을 제대로 이행하지 않았다. 이런 결과 초보적인 방식으로 고객정보가 1년간이나 무방비로 노출됐지만 KT는 이를 인지조차 하지 못했다. 또한 반복적인 비정상적 접근을 차단하지 못했고, 개인정보도 암호화되지 않았다. KT는 본인확인기관으로 더 많은 개인정보를 수집할 수 있는 특혜를 부여 받은 만큼 정보보호 의무가 크다고 할 수 있다.

이에 경실련은 개인정보 유출에 대한 KT의 책임 있는 자세를 요구한다.

KT는 개인정보 유출에 대한 책임을 인정하고 피해자들에게 진심어린 사과와 더불어 보상대책을 마련해야 한다. 또한 서비스 해지를 원하는 피해 고객에게 위약금을 부과하는 행위를 중단해야 한다. 약관에 ‘회사의 귀책 사유인 경우’ 위약금을 면제토록 명시되어 있음에도 불구하고, 위약금을 부과하는 것은 부당한 처사이다.

규제기관인 방송통신위원회는 KT의 개인정보보호 법규 위반에 대한 행정처분을 더 이상 미루지 말고 원칙적이고 강력한 조치 취해야 하며, 더불어 위법한 위약금 부과 행위에 대해서도 시급히 조치해야 한다. 이를 통해 유사한 개인정보 유출사고가 발생하지 않도록 개인정보 이용에 대한 이익보다 개인정보 보호에 대한 부담이 커지도록 해야 한다.

나아가 개인정보가 보호될 수 있도록 우리사회의 결단을 촉구한다.

첫째, 소비자가 안심할 수 있는 개인정보보호 대책을 마련해야 한다. 현행 개인정보보호법을 무력화하는 다수의 법률을 정비하고, 개인정보보호위원회의 역할도 강화해야 한다. 둘째, 실명제 기반의 사회시스템을 재점검해야 한다. 인터넷 사이트에 가입하던, 쇼핑을 하던 게임을 하던 내가 나임을 증명해야 한다. 실명제는 사회유지를 위한 최소한의 범위 내에서만 이뤄져야 한다. 셋째, 회복 불가능한 유출정보는 폐기돼야 한다. 주민등록번호는 태어나면서 국가로부터 부여받는 고유한 번호다. 성별, 나이, 생일, 출생지역 등 정보가 담겨, 개인을 식별할 수 있도록 했고, 변경도 불가능해 식별성이 더 높였다. 주민등록번호 유출로 인한 피해는 평생 따라 다닌다. 따라서 주민등록번호 변경을 허용하고, 민간 사용을 금지해야 한다.

2014. 6. 26

경실련 소비자정의센터

별첨 2. 소장

<소 장>

소장

원 고 별지 1 목록

원고들의 소송대리인 법무법인 나눔

담당변호사 김보라미, 한경주

주소 서울 서초구 서초중앙로 164, 신한국빌딩4층

전화 02-535-5533 , 팩스 02-3477-7595

피 고 주식회사 케이티

경기도 성남시 분당구 불정로 90(정자동)

대표이사 황 창 규

손해배상(기) 청구의 소

청 구 취 지

1. 피고는 원고들에게 각 1,000,000원 및 2014. 3. 6. 부터 이 사건 소장부본 송달일 까지 연 5%, 그 다음날부터 다 갚는 날까지 연 20%의 각 비율에 의한 각 금원을 지급하라.

2. 소송비용은 피고의 부담으로 한다.

3. 제1항 및 제2항은 가집행할 수 있다.

라는 판결을 구합니다.

청 구 원 인

1. 당사자들의 관계

원고들은 피고가 제공하는 서비스를 이용하는 회원들로, 피고가 올레닷컴 홈페이지(http://www.olleh.com)의 개인정보 보호조치의무를 위법하게 위반하여 주민등록번호 등을 포함한 중요한 개인정보가 외부로 유출되어 정신적 손해를 입은 자들입니다.

피고는 전기통신사업법상 기간통신사업자일뿐만 아니라 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』(이하 “정보통신망법”)상 본인확인기관으로써 일반 정보통신서비스 사업자들보다 더 엄격한 개인정보 보호조치를 할 것이 기대되는 사업자임에도 정보통신망법상의 일반 개인정보 보호조치 의무조차도 이행하지 않아 원고들의 개인정보를 제3자에게 유출시키는 불법행위를 하였고 이로 인하여 원고들에게 수인할 수 없는 정신적 손해를 가한 자입니다.

2. 사실관계

이 사건에서 원고들의 정보가 성명불상 해커들에게 유출된 경위는 다음과 같습니다.

가. 원고들의 정보가 피고의 개인정보보호조치 의무 위반으로 유출된 경위

피고의 올레닷컴 홈페이지에서는 누구든지 자신의 아이디 및 패스워드를 이용해 로그인하여 정상로그인 정보값(쿠키)을 발급받은 후, 간단한 파로스 프로그램으로 권한 없이 회원들의 개인정보들을 조회할 수 있었습니다.

결국 이러한 절차로 특정 IP에서 자동화된 프로그램을 이용하여 일 최대 341,000여 번 정보가 유출된 것이 확인되었습니다. 똑 같은 특정 IP에서 341,000여 번 피고 데이터베이스에 접속할 때까지 피고는 전혀 이를 필터링하지 못했습니다. 이런 과정으로 원고들의 정보들도 포함되어 1년간 약 1200여만 건의 개인정보가 유출되었습니다. (갑 제1호증 “미래창조과학부 KT 홈페이지 해킹경로 중간 조사 결과” 참조)

그림 1 홈페이지 해킹 경로 도표 (갑 제1호증 미래창조과학부 KT 홈페이지 해킹경로 중간조사 결과 참조)

나. 원고들의 유출된 정보내역

이 사건 원고들은 피고가 제공하는 서비스 가입자들로서, 유출된 원고들의 개인정보들은 원고들마다 각 다릅니다. 지금까지 드러난 유출범위는 이름, 주민등록번호, 휴대폰 번호, 카드결제번호, 카드유효기간, 은행계좌, 주소, 이메일, 고객관리번호, 유심카드번호, 서비스가입정보(직업 등) 등으로 나타나고 있습니다. 별지2 원고별 유출된 정보목록에서는 이에 대하여 구체적으로 적시하여 표로 설명하고 있습니다.

다. 원고들의 정보유출이 드러난 경위

피고의 올레닷컴 홈페이지는 특정 IP에서 하루에만 약 341,000여 건의 접속을 통하여 1년간 전 가입자의 4분의3인 892만여 명의 개인정보가 유출되기도 하였지만 피고는 이를 인지하지도, 이에 대한 어떠한 조치도 취하지 않았습니다. 이러한 사실은 인천광역시 광역수사대가 휴대폰개통과 판매영업과정에서 개인정보매매 등에 대하여 수사하던 중 그 전모가 모두 드러났고, 방송통신위원회와 피고에게 그 사실을 통보함으로써 피고도 알게 된 것입니다.

라. 소결어

피고의 올레닷컴 홈페이지는 누구의 명의로 로그인하더라도 간단한 파로스 프로그램을 활용하면 권한 없이 타인의 개인정보를 조회할 수 있다는 점에서 진정한 해킹사건으로 보기 어려울 정도입니다. 이 사건 해커가 사용한 파로스 프로그램은 인터넷에서 널리 구할 수 있는 프리웨어로서 기초적인 컴퓨터프로그램인 점 등을 고려하면 아래에서 보듯 피고의 불법행위성립은 쉽게 인정할 수밖에 없다 할 것입니다. 또한 피고의 불법행위 성립에 있어서 과거 2년 전 피고가 동일하게 한 IP에서 과도하게 접속하는 것을 필터링 하지 못하여 이번 사건과 유사하게 개인정보가 모두 유출된 전력이 있다는 점도 위법성 판단에서 중요한 사정으로 판단될 수밖에 없다 하겠습니다.(서울중앙지방법원 2012고단4098, 2012고단 4147 사건)

3. 피고의 위법한 불법행위 성부에 대하여

가. 피고의 법적 지위와 주의의무의 정도

피고는 전기통신사업법상 기간통신사업자로 허가 사업자입니다.(전기통신사업법 제6조 제1항) 따라서, 다른 사업자들에 비하여 독과점적 지위를 누리는 특혜를 받고 있으며 그에 따라 유·무선 서비스를 모두 포함하면 전 국민의 상당수를 고객으로 보유하고 있어 다른 정보통신서비스 사업자들과 비교하면 고도의 주의의무가 존재한다고 해석할 수밖에 없습니다. 그 뿐만 아닙니다. 정보통신망법에서는 일반적으로 사업자에 의한 주민등록번호 수집을 금지하면서도 예외적으로 주민등록번호를 수집할 수 있는 본인확인제도가 있는데, 피고는 이러한 본인확인제도에 따라 주민등록번호를 수집할 수 있는 예외적인 특혜사업자입니다.(정보통신망법 제23조의 3) 즉, 일반적인 정보통신서비스 사업자들과 비교할 때 피고는 일반적인 정보통신서비스 사업자 또는 전기통신사업자의 주의의무보다 고도의 주의의무를 보유한다 할 것입니다.

그러나 아래에서 보듯 피고는 정보통신망법상의 주의의무조차도 이행하지 못하였음이 명백한바, 이는 고의에 준하는 중과실로 해석할 수밖에 없을 것입니다.

나. 피고의 위법한 개인정보 보호조치 의무 위반행위

1) 로그인 후 별도의 본인확인 절차 없이 누구든지 권한 없이 일반 고객정보에 접근할 수 있도록 한 행위

피고의 올레닷컴 홈페이지는 홈페이지에 자신의 로그인 정보로 접속하면 쉽게 본인인증 등의 절차 없이 타인의 개인정보를 조회할 수 있게 되어 있습니다. 이는 아래에서 보듯 정보통신망법이 정한 의무위반에 해당된다 할 것입니다.

정보통신망법 제28조 제1항은 “정보통신서비스제공자 등이 개인정보를 취급할 때에는 개인정보의 분실・도난・누출・변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 기술적・관리적 조치”를 할 의무를 규정하고 있으며, 해당 조항 제2호에서 “개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제정차의 설치・운영”, 제4호에서 “개인정보를 안전하게 저장・전송할 수 있는 암호화기술 등을 이용한 보안조치”, 제6호에서 “그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치”를 구체적인 조치로 규정한 바 있습니다.

이에 따라 정보통신망법 시행령 제15조 제2항 제2호에 따르면 “개인정보처리 시스템에 대한 침입차단시스템 및 침입탐지 시스템의 설치・운영”, 제5호에 따르면 “그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치”등이 개인정보에 대한 불법적인 접근을 차단하기 위한 조치로 규정되어 있으며, 같은 시행령 제15조 제6항에서는 “방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다”라고 정하였고, 동법 시행규칙 제9조 제2항 제1호는 개인정보의 안전성 확보에 필요한 기술적 조치로서 “개인정보에 대한 접근 권한을 확인하기 위한 식별 및 인증 조치”를 규정하였습니다.

정보통신망법 시행령 제15조가 구체적인 기준을 방송통신위원회의 고시에 위임하고 있는 것을 근거로, 방송통신위원회는 “개인정보의 기술적 · 관리적 보호조치 기준(이하 “보호조치 기준”)”고시를 정하였는바, 보호조치 기준 제4조 제9항은 정보통신서비스 제공자 등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터에 조치를 취하여야 한다고 규정하고 있으며 보호조치 기준 해설서 제50면 내지 제51면에 따르면 이 조항은 이 때의 열람권한이 없는 자에 대한 공개나 외부유출의 범위에는 “인터넷 홈페이지 취약점으로 인한 노출”의 경우를 포함한다고 설명하고 있습니다.

위 정보통신망법 제28조 제1항 제2호, 제4호, 제6호, 같은 법 시행령 제15조 제2항 제2호, 제5호, 제6항, 시행규칙 제9조 제2항 제1호, 보호조치 기준 제4조 제9항에 따르면 정보통신서비스제공자는 ① 누군가가 개인정보에 접근하는 경우에 그 개인정보의 명의인인지 확인하기 위한 식별, 인증 등의 조치를 하여 동일성을 체크할 의무와 ② 입력만 하면 개인정보에 접근할 수 있는 정보(예를 들면 고객서비스 계약번호)를 변조 또는 취득할 수 없도록 조치할 의무가 인정된다고 할 것입니다.

따라서 피고는 자사 홈페이지의 고객이용요금명세 조회용 페이지에서 이용자가 일단 로그인해서 누구의 고객서비스계약번호(숫자 9개)라도 입력만 하면 별도의 인증이나 식별절차 없이 개인정보에 접근할 수 있도록 방치하였을 뿐만 아니라, 심지어 접속한 ID와 고객서비스계약번호가 동일인의 것인지 체크하는 절차도 두지 않아 접속한 ID의 명의와 전혀 관계없는 고객서비스계약번호를 입력하더라도 개인정보를 조회할 수 있게 하였습니다. 뿐만 아니라 간단한 파로스 프로그램만으로도 데이터베이스의 접근 번호인 고객서비스계약번호를 변조할 수 있도록 하였습니다. 즉, 피고는 그 개인정보의 명의인인지 확인하기 위한 식별, 인증 등의 조치를 하여 동일성을 체크할 의무와 입력만 하면 개인정보에 접근할 수 있는 정보를 변조 또는 취득할 수 없도록 조치할 의무를 이행하지 않았는바, 이는 위 각 법령위반이라 할 것입니다.

2) 한 IP에서 자동화된 프로그램으로 과도하게 많은 횟수의 고객정보에 접근하였으나 이를 탐지하지 못한 행위

피고는 이 사건 해커가 1년 동안이나 지속적으로 많게는 하루에 특정 IP에서 341,000여건의 접속을 하면서, 892만여 명의 개인정보를 유출하였음에도 이를 전혀 인식하지 못하고 방치하였습니다. 이는 2년 전의 피고에 대한 해킹 사건에서도 드러난 주의의무로, 2년 전에 방송통신위원회에 의하여 강도 높은 조사를 받은 사실이 있습니다. 즉, 피고는 동일한 ID로 지나치게 많은 횟수로 접속하여 KT의 데이터베이스에 접속하였음에도 이에 대하여 접속한 IP주소 등을 재분석하거나 접속한 ID에 대하여 조사하는 등의 조치를 전혀 취하지 아니하였음이 분명합니다.

이러한 행위는 앞에서 본 것과 같이 정보통신망법 제28조 제1항 제2호, 제6호에 우선 해당합니다. 또한 시행령 제15조 제2항 제2호, 제5호, 제6항도 이 경우 마찬가지로 적용될 수 있으며 시행규칙 제9조 제1호도 마찬가지로 포괄적으로 가능합니다.

그러나 위의 모법령의 규정들이 약간은 추상적이고 구체적인 기준을 고시에 위임하고 있으므로 보호조치 기준을 조금 더 구체적으로 살펴보도록 하겠습니다. 보호조치 기준 고시 제4조 제5항 제2호는 “개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출시도를 탐지”할 것을 규정하고 있습니다. 이에 대한 보호조치 기준 해설서 제44면 내지 제45면에 따르면, 피고는 침입차단 및 침입탐지기능을 갖춘 설비의 설치, 운영의 의무가 있음이 명백합니다. 또한 앞에서 본 것과 같이 보호조치기준 제4조 제9호 역시 이 경우 적용될 수 있습니다.

위 정보통신망법 제28조 제1항 제2호, 제4호, 제6호, 같은 법 시행령 제15조 제2항 제2호, 제5호, 제6항, 시행규칙 제9조 제2항 제1호, 보호조치 기준 제4조 제5항 제2호, 제9항에 따르면 피고는 인터넷 홈페이지 취약점으로 인한 노출을 방지하여 이를 위하여 개인정보 처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출시도를 탐지할 의무가 있습니다.

따라서 피고가 하루에 단일 IP에서 3십만 번의 접속이 있었음에도 이를 전혀 탐지하지 못할 뿐만 아니라, 해당 IP를 재분석한 바도 없다는 점을 고려할 때 피고의 행위는 위 법령위반에 해당한다 할 것입니다.

3) 개인정보를 암호화 조치하지 않은 사실

피고는 정보통신망법 제28조 제1항 제4호에 따라 “개인정보를 안전하게 저장・전송할 수 있는 암호화기술 등을 이용한 보안조치”를 하여야 하며, 동법 시행령 제15조 제4항 제2호에 따라 “주민등록번호 및 계좌정보 등 금융정보의 암호화 저장”하여야 하고, 보호조치 기준 제6조 제2항에 따라 “주민등록번호, 신용카드번호 및 계좌번호에 대해서는 안전한 암호알고리듬으로 암호화하여 저장”하여야 하며, 동조 3항에 따르면 “정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화” 하여야 합니다.

따라서 피고는 원고들의 개인정보 중 주민등록번호, 신용카드번호 및 계좌번호에 대하여 암호화하지 아니하였으며, 정보통신망을 통해 원고들의 개인정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화하는 조치를 하지 아니한 사실이 있는바, 정보통신망법 제28조 제1항 제4호를 위반하였다고 할 것입니다.

다. 소결어

위와 같은 사정을 모두 종합적으로 판단하건대, 피고는 일반 정보통신사업자들이 이행해야 할 개인정보 보호조치조차도 위법하게 이행하지 않은 불법행위를 행한 것을 확인할 수 있는바, 기간통신사업자이자 본인확인기관인 피고의 입장에서는 고의에 가까운 중과실로 불법행위를 한 것임을 알 수 있다 하겠습니다.

4. 손해배상의 성립 및 그 범위

가. 정신적 손해의 발생

피고가 행한 불법행위의 정도는 앞에서 본 것처럼 피고에게 자신의 개인정보를 위임한 소비자들의 예상을 뛰어넘을 정도로 단순한 절차조차도 위반한 위법이 존재합니다. 피고의 서비스를 이용한 원고들 중 국내 굴지의 서비스 사업자인 피고가 위와 같인 2012년에 걸쳐 2014년에도 간단한 수법으로 소비자들의 개인정보를 노출시킬 것이라 예상할 수 없었을 것임이 분명합니다.

사실상 홈페이지에 접속만 하면 고객정보 디비(DB)에 접속할 수 있는 취약한 수준의 보안도 문제이지만, 한 IP에서 무려 하루에 341,000여건의 접속이 가능했다는 것은 원고들과 같은 피고서비스 이용자들에게 수인할 수 없는 정신적 손해를 발생시킨다고 볼 수밖에 없을 것입니다. 그 뿐만 아닙니다. 암호화 기술 보호조치 하지 않아 원고들의 이름, 주민등록번호, 휴대폰 번호, 카드결제번호, 카드유효기간, 은행계좌, 주소, 이메일, 고객관리번호, 유심카드번호, 서비스가입정보(직업 등) 등의 기본 개인정보 이외에도 신용정보까지 노출되어 원고들은 언제 이런 개인정보를 이용한 사기(스팸메일, 스팸문자, 보이스피싱, 스미싱, 명의도용, 금융거래 장애)를 당할까 두려움에 떨 수밖에 없었습니다.

지금까지 밝혀진 사실관계에 따르면 원고들의 개인정보들을 포함한 유출된 개인정보들은 약 115억 원의 가치로 판매되었고, 현재 원고들의 개인정보들은 어디까지 유출되었는지 알 수 없을 정도로 이미 널리 유통되고 있습니다. 심지어 오늘날 주민등록번호와 함께 일체화된 우리나라 국민들의 개인정보 디비(DB)는 중국에서 고가에 팔려 중요한 사업의 원천으로 활용되고 있는 실정이라는 점을 고려할 때 피고의 위법행위가 유발하는 예상손해는 간단히 계산하기도 어려운 상황입니다. 또한 원고들이 이러한 상황을 원상회복시킬 수 있을지도 알 수 없을 정도로 개인정보의 판매와 얽혀 있는 블랙마켓의 상황은 혼탁하기만 합니다. 이미 원고들의 정보들은 제3자에 의하여 불법적인 목적으로 활용된 점까지 드러났습니다. 따라서 이 사건에서 수인할 수 없는 정신적 고통에 따른 손해의 발생은 인정하기 어렵지 않다 하겠습니다.

정보통신망법 제32조는 “이용자는 정보통신서비스 제공자등이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정보통신서비스 제공자등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다”고 규정하고 있습니다. 동조는 민법 제750조 소정의 불법행위에 따른 손해배상책임에서의 입증책임을 일정 부분 가해자 측에 전환시키고 있는 것으로 해석됩니다. 따라서 피고가 고의 또는 과실 없음을 증명하지 아니하는 한 이 사건 청구에 따른 책임을 면할 수 없을 것입니다.

따라서 아래에서는 구체적인 손해발생의 범위에 대하여 조금 구체적으로 따져보도록 하겠습니다.

나. 정신적 손해발생의 범위

개인정보의 유출에 따른 정신적 손해의 액수를 산정함에 있어서 관련 사건으로 볼 수 있는 서울고등법원 2008. 11. 25. 선고 2008나25888 판결을 살펴보면, “개인정보를 처리하는 자가 취한 사고당시의 보안조치 수준, 사고발생 후 얼마나 신속하게 사고를 파악하고 적시에 적절한 피해확산방지조치를 취하였는지 여부, 피해자의 자기정보통제권과 관련하여 피해자에 대한 사고발생 안내의 적절성 및 피해접수 내지 확인, 피해회복조치 이행 여부, 유출된 정보의 성격 및 유출된 정보의 양, 정보가 유출된 범위 및 유출된 정보의 전파가능성, 스팸메일이나 명의도용 등 추가적인 피해발생 여부, 개인정보를 처리하는 자가 개인정보를 수집, 처리함으로써 얻는 이익” 등을 그 액수 산정의 중요한 요소로 보고 있습니다.

그런데 앞에서 살펴본 것과 같이 이 사건은 다음과 같은 이유로 적어도 네이트 해킹 사건의 대구지방법원 항소심에서 인정한 100만 원 정도의 위자료가 인정될 이유가 있습니다.

- 피고의 사고당시 보안조치는 허술하였습니다. 피고의 보안조치는 파로스 프로그램과 같은 초보적인 해킹 툴에 의한 것으로 누구나 로그인하여 타인의 서비스 계약번호만 입력하면 그 타인의 개인정보를 얻을 수 있었으며, 1년여에 걸쳐 하루에 특정 IP에서 341,000여건의 접속을 하면서, 1200만 여명의 개인정보를 유출하였음에도 이를 적발하지 못하였고, 통신 3사 중 유일하게 위와 같은 방식으로 해킹이 가능하도록 방치한 사실 등을 고려하면, 이 사건 해킹 발생시점의 기술수준에 비추어볼 때 보안조치 수준이 매우 미흡하였습니다.

- 피고는 이미 2012년에 동일한 방법으로 해킹을 당하고도 전혀 시스템을 개선하지 못하였습니다. 피고는 이미 2012년에 장시간 ID를 모니터링하지 아니한 결과 해킹사건을 경험하였음에도 불구하고 이를 시정하지 않아 또 다시 이 사건 해킹에 따른 개인정보 유출이 발생하였으며, 이 사건 해킹 발생 이후에도 문제가 되었던 고객이용요금명세 조회용 페이지만 폐쇄하였을 뿐 별다른 조치를 하지 않았습니다.

- 사고발생 후 사건 확산 금지 등의 행위가 특별히 없었습니다. 특히 이 사건 해킹 사고 발생 이후 어떠한 보상조치도 이뤄지지 아니하였으며, 오히려 해킹 사고로 피해를 입은 회원들이 법위반 및 약관위반을 이유로 한 계약해지 요청에도 해지 시에는 위약금을 100% 받을 것임을 공표하는 등 불안에 떠는 원고들에게 적반하장식의 대책만을 내놓았을 뿐입니다. 심지어 2012년과 2014년의 해킹사건에 대한 사과문의 문구도 매우 비슷하여 사회적으로 논란이 되기도 하였습니다.

- 유출된 정보의 특성과 수준도 심각한 수준이었습니다. 유출된 개인정보 중에 주민등록번호 뿐 아니라 계좌번호, 신용카드번호, 신용카드 유효기간 등의 신용정보 등 유출될 경우 치명적인 손해를 발생시킬 수 있는 정보가 포함되어 있으며, 무려 피고 회원의 4분의 3이자 전 국민의 4분의 1에 달하는 892만 명의 개인정보가 유출되었습니다.

- 현재 유출된 개인정보는 어디까지 전파될지 알 수 없는 상황입니다. 이 사건 해커들은 유출한 개인정보를 유통시켜 벌써 115억 원의 이익을 챙긴 점에 비추어 볼 때 이미 심각한 수준으로 확산되어 버린 점을 알 수 있습니다.

- 추가 피해가능성도 현저합니다. 유출된 개인정보가 활용된다면 명의도용 금융거래 장애 및 손실발생, 신용카드 결제 사기, 보이스피싱, 스미싱, 스팸메일, 스팸문자 등 심각한 추가 피해가 예상되고, 개인정보유출방법이 너무나 간단하여 드러나지 않았으나 비슷한 수법으로 원고들의 개인정보를 유출하였을 가능성이 높습니다.

- 피고는 기간통신사업자이자, 본인확인기관으로 이미 과도한 개인정보를 보유하면서 엄청난 이익을 얻고 있습니다.

따라서 최근 대구지방법원에서 일개 정보통신사업자인 네이트의 해킹 사건에서조차도 항소심에서 100만원의 위자료청구가 인용된 점을 고려할 때 이 사건 역시 적어도 100만원의 위자료청구가 인정되어야 할 것입니다.

5. 결론

피고는 원고들에게 개인정보보호의무위반으로 인한 불법행위에 따른 손해배상금으로 각 1,000,000원 및 개인정보가 유출되었음이 드러나 인천경찰청 광역수사대에서 통보한 2014. 3. 7. 부터 이 사건 소장부본 송달일 까지 민법이 정하는 바에 따라 연 5%, 그 다음날부터 다 갚는 날까지 소촉법이 정하는 바에 따라 연 20%의 각 비율에 의한 금원을 지급할 의무가 있다 할 것입니다.

입 증 방 법

1. 갑 제1호증 미래창조과학부 KT 홈페이지 해킹경로 중간 조사결과

첨 부 서 류

1. 위 각 입증방법 1부

1. 소장 부본 1부

1. 피고의 법인등기부등본 1부

1. 소송위임장 및 담당변호사 지정서 1부

1. 납부서 1부

2014. 6. 26.

위 원고들의 소송대리인

법무법인 나 눔

담당 변호사 김보라미

담당 변호사 한 경 주

서 울 중 앙 지 방 법 원 귀 중

별첨3. 해지신청서

KT 서비스 해지신청서

신청인 : 강ㅇㅇ 외 49명 (별지 신청인 명단 참조)

신 청 취 지

위 신청인들은 주식회사 KT가 운영하는 올레닷컴(www.olleh.com)의 개인정보 유출로 인하여 주식회사 KT가 제공하는 각종 서비스에 대한 위약금 없는 해지를 신청합니다.

신 청 이 유

1. 개인정보 유출 사실

가. 유출 사실의 인지 경위

인천지방경찰청 광역수사대는 휴대전화 판매 및 개통에 대한 영업과정에서의 개인정보의 매매를 수사하던 중, 주식회사 KT(이하 ‘KT’라 함)가 운영하는 올레닷컴(www.olleh.com)에서 가입자의 개인정보가 유출된 사실을 발견하고 방송통신위원회와 KT에 그 사실을 통보하였습니다.

나. 개인정보 유출 경위

KT의 올레닷컴 홈페이지에서는 누구든지 자신의 아이디 및 패스워드를 이용해 로그인하여 정상 로그인 정보값(쿠키)을 발급받은 후, 간단한 파로스프로그램으로 이용하여 권한없이 다른 회원들의 개인정보들을 조회할 수 있었습니다. 위와 같은 방법으로 특정 IP에서 일 최대 341,000번의 정보가 유출되기도 하였습니다.

그러나, 위와 같은 상황에서도 KT는 정보유출 상황에 대한 모니터링 및 필터링을 하지 못하였으며, 그로 인하여 약 1년간 약 1,200만 명에 대한 개인정보가 유출되었습니다.

특히, KT는 2012.경에도 휴대전화 가입자 870만 명의 개인정보를 유출시킨 사실이 있고, 위 사건으로 인하여 ‘고객정보 해킹 관련 재발 방지 대책’을 마련하겠다고 약속을 하였음에도, 위 약속은 전혀 지켜지지 아니하였고 결국 이 사건 개인정보 유출에 이르게 되었습니다.

다. 유출된 개인정보

이 사건으로 인하여 유출된 개인정보에는 올레닷컴 가입자의 이름, 주민등록번호, 휴대전화 번호, 결제 카드번호, 카드 유효기간, 은행계좌, 주소, 이메일, 고객관리번호, 유심카드번호, 서비스 가입정보 등 중요하고 민감한 개인정보가 다수 포함되어 있습니다.

2. 해지권의 발생 및 위약금 부과의 부당성

가. KT의 채무불이행

이 사건 개인정보 유출은 매우 초보적인 해킹 수법으로 이루어졌음에도 불구하고, KT는 이를 전혀 발견하지 못하였습니다.

KT는 올레닷컴 이용약관 제31조 제5항, 제33조 제1항, 제36조 등에 따라 회원의 개인정보를 보호하기 위하여 노력을 하여야 함에도 불구하고, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제28조 제1항, 동법 시행령 제15조, 방송통신위원회 고시 ‘개인정보의 기술적․관리적 보호조치 기준’ 제4조 등을 위반하는 등 본인의 의무를 다하지 아니하였습니다.

나. 이용자 및 가입자들의 해지권

민법 제543조는 「계약 또는 법률의 규정에 의하여 당사자의 일방이나 쌍방이 해지 또는 해제의 권리가 있는 때에는 그 해지 또는 해제는 상대방에 대한 의사표시로 한다」고 규정하고 있고, 국내 학설은 명문규정이 없더라도 채무불이행이 있으면 해지권이 발생한다고 보고 있습니다.

또한, 우리 판례는 계속적 계약관계에 있어서 신뢰관계의 파괴를 이유로 한 해지를 인정하고 있습니다(대법원 2002. 11. 26. 2002두5948 등 참조).

계속적 계약은 당사자 상호간의 신뢰관계를 그 기초로 하는 것이므로, 당해 계약의 존속 중에 당사자의 일방이 그 계약상의 의무를 위반함으로써 그로 인하여 계약의 기초가 되는 신뢰관계가 파괴되어 계약관계를 그대로 유지하기 어려운 정도에 이르게 된 경우에는 상대방은 그 계약관계를 막바로 해지함으로써 그 효력을 장래에 향하여 소멸시킬 수 있다고 봄이 상당하다.

다. 위약금 부과의 부당성

(1) 위약금의 의미

KT의 ‘KT WCDMA 서비스 이용약관’ 및 ‘olleh WiBro 서비스 이용약관’ 등에는 위약금에 대한 명확한 정의가 규정되어 있지 아니하나, KT는 ‘의무사용기간을 조건으로 보조금을 지급받은 고객이 의무사용기간 종료 전에 계약을 해지할 경우 부담하는 금원’을 위약금이라고 보고 있는 듯 합니다.

그런데, 위약금이라 함은 채무불이행의 책임 있는 자가 부담하는 손해배상책임을 의미하는바, KT의 위 약관 등에는 KT의 귀책사유로 인한 계약해지에 대한 규정과 그러한 해지에 대한 위약금의 규정을 찾아볼 수가 없습니다.

(2) 위약금 부과의 부당성

신청인들의 각종 서비스 해지 신청은 명백한 KT의 귀책사유로 인한 것입니다. 이 사건 신청이 서비스 제공 의무자인 KT의 채무불이행에서 비롯되었고, 채무자가 채무의 내용에 좇은 이행을 하지 아니한 때에는 채권자는 손해배상을 청구할 수 있다(민법 제390조 참조)는 기본 원칙을 고려하면 손해배상책임을 부담하는 자는 KT이지, 서비스 이용자가 될 수는 없습니다.

특히, 위 약관 등에는 ‘회사의 귀책 사유인 경우’ 위약금을 면제할 것을 규정하고 있습니다. 위 약관 규정은 일반적인 원칙을 확인하는 의미에 지나지 않는 바, 가사 일부 서비스 약관에 위와 같은 규정이 없다고 하더라도, KT의 채무불이행으로 신뢰관계가 손상되었고, 그로 인하여 서비스 이용 계약이 해지되는 경우 당연히 위약금은 발생하지 아니할 것입니다.

별지. 해지 신청인 명단

순번	고객명	주민등록번호	해지신청
1	강ㅇ화	990729-0000000	모바일
2	강ㅇ혜	011011-0000000	모바일
3	권ㅇ숙	771011-0000000	모바일
4	김ㅇ태	671229-0000000	모바일
5	김ㅇ	770301-0000000	모바일, 인터넷
6	김ㅇ덕	420121-0000000	모바일
7	김ㅇ아	861223-0000000	모바일
8	김ㅇ연	760405-0000000	모바일, 인터넷 올레 tv
9	김ㅇ현	850131-0000000	모바일
10	김ㅇ옥	730929-0000000	모바일
11	김ㅇ윤	850605-0000000	모바일
12	김ㅇ근	840429-0000000	모바일
13	김ㅇ일	610811-0000000	모바일
14	김ㅇ효	650628-0000000	모바일
15	김ㅇ영	850531-0000000	모바일
16	김ㅇ정	880105-0000000	모바일
17	박ㅇ희	691026-0000000	모바일, 인터넷 인터넷 전화 1, 2
18	박ㅇ만	750201-0000000	모바일
19	박ㅇ민	760407-0000000	모바일
20	박ㅇ영	910917-0000000	모바일
21	백ㅇ숙	780810-0000000	모바일
22	서ㅇ희	861130-0000000	모바일
23	손ㅇ남	720217-0000000	모바일
24	어ㅇ례	850625-0000000	모바일
25	오ㅇ형	800524-0000000	모바일
26	오ㅇ영	811028-0000000	모바일
27	유ㅇ숙	510810-0000000	모바일
28	유ㅇ	770408-0000000	모바일
29	윤ㅇ한	700125-0000000	와이브로
30	이ㅇ배	830127-0000000	모바일
31	이ㅇ자	650301-0000000	모바일 1, 2
32	이ㅇ규	830429-0000000	모바일
33	이ㅇ재	600207-0000000	모바일
34	이ㅇ혜	760501-0000000	모바일
35	이ㅇ민	950118-0000000	모바일
36	장ㅇ란	930420-0000000	모바일
37	장ㅇ희	900502-0000000	모바일
38	전ㅇ철	700923-0000000	모바일
39	전ㅇ정	790103-0000000	모바일, 인터넷, 올레 tv 인터넷전화
40	정ㅇ영	810725-0000000	모바일
41	조ㅇ행	731001-0000000	모바일
42	주ㅇ경	770510-0000000	모바일, 인터넷, 올레 tv, 집전화, 인터넷전화
43	주ㅇ실	740107-0000000	모바일
44	차ㅇ영	990615-0000000	모바일
45	최ㅇ경	720302-0000000	모바일, 인터넷, 올레 tv 인터넷전화
46	최ㅇ호	610606-0000000	모바일
47	최ㅇ성	860928-0000000	모바일
48	추ㅇ진	790823-0000000	모바일
49	하ㅇ형	720729-0000000	모바일
50	홍ㅇ근	860402-0000000	모바일