대규모 카드사 개인정보 유출 피해배상 판결

이 사건은 대규모 개인정보 유출 사고에 대한 카드사 및 관련 업체의 손해배상 책임 여부를 다룬 판결입니다. 원고들(개인정보 유출 피해자)은 피고들(신용카드 회사 및 카드사고분석시스템 개발 업체)을 상대로 개인정보 유출로 인한 정신적 피해에 대한 손해배상을 청구했습니다. 대법원은 원고들이 피고들이 제공하는 정보통신서비스의 이용자에 해당하지 않아 정보통신망법에 따른 손해배상 책임은 없다고 보았으나, 피고들에게 민법상 불법행위 책임과 개인정보 보호법상 손해배상 책임이 있다고 인정하며 원고들의 청구를 일부 인용한 원심 판결을 확정했습니다. 특히 피고 B에게는 7만 원, 나머지 피고들에게는 각 10만 원의 위자료를 지급하라고 판결했습니다.

관련 당사자

• 원고들: 신용카드 개인정보 유출로 정신적 피해를 입은 다수의 신용카드 회원들
• 피고 주식회사 A, B 주식회사, C 주식회사: 개인정보를 관리하고 신용카드 서비스를 제공하는 카드사 및 관련 금융기관
• 피고 D 주식회사: 카드사고분석시스템(FDS) 개발 및 업데이트 용역을 수행하며 카드사의 개인정보를 취급한 외부 업체

분쟁 상황

2010년 4월경, 2012년 6월경, 2012년 10월경 세 차례에 걸쳐 대규모 신용카드 고객의 개인정보가 유출되는 사고가 발생했습니다. 유출된 개인정보는 피고 B, C 주식회사의 신용카드 등을 이용하기 위해 수집된 것으로, 피고들의 사무실 업무용 하드디스크에 저장되어 있다가 유출되었습니다. 특히 피고 B, C은 카드사고분석시스템(FDS) 업데이트 용역을 외부 업체(피고 D)에 의뢰하는 과정에서 개발인력들에게 카드회원의 개인정보를 제공하면서 개인정보 유출을 막기 위한 조치를 소홀히 한 것으로 드러났습니다. 이로 인해 유출된 정보에는 개인 식별 정보뿐만 아니라 사생활과 밀접한 정보가 포함되어 2차 범죄에 악용될 가능성이 커졌습니다. 이에 개인정보가 유출된 수많은 신용카드 회원들이 정신적 손해에 대한 배상을 요구하며 소송을 제기했습니다.

핵심 쟁점

개인정보 유출 피해자들이 정보통신망법상 '정보통신서비스 이용자'에 해당하는지 여부, 피고들의 민법상 불법행위 및 개인정보 보호법상 손해배상 책임 인정 여부, 그리고 개인정보 유출로 인한 정신적 손해(위자료)의 인정 기준 및 금액이 주요 쟁점이었습니다.

법원의 판단

대법원은 피고들의 상고를 모두 기각하고 원심 판결을 확정했습니다. 구체적으로 대법원은 원고들이 오프라인으로 신용카드를 발급받은 경우, 피고들이 제공하는 정보통신서비스를 이용하는 정보통신망법상 이용자로 볼 수 없으므로 정보통신망법 제32조에 따른 손해배상책임은 인정하지 않았습니다. 그러나 피고들이 개인정보 처리자로서 개인정보 유출을 막기 위한 주의의무를 다하지 않은 잘못이 있으므로 민법 제750조(불법행위), 제756조(사용자책임) 및 구 개인정보 보호법 제39조에 따른 손해배상 책임은 인정된다고 판단했습니다. 또한 피고 D 주식회사에 대해서도 피용자의 사무집행 관련 불법행위와 개인정보 관련 법령이 요구하는 안전성 확보 조치 미이행으로 인한 손해배상 책임을 인정했습니다. 위자료 액수는 피고 B에 대해 각 7만 원, 나머지 피고들에 대해 각 10만 원으로 정한 원심의 판단이 정당하다고 보았습니다.

결론

대법원은 카드사 및 관련 업체의 개인정보 유출에 대한 책임을 인정하여 피고들의 상고를 기각하고, 원고들에게 각각 7만 원 또는 10만 원의 위자료를 지급하라는 원심의 판결을 확정했습니다. 모든 상고비용은 피고들이 부담하도록 했습니다.

연관 법령 및 법리

이 사건에서는 다음과 같은 법령과 법리가 적용되었습니다.

• 민법 제750조 (불법행위의 내용)​: 고의 또는 과실로 타인에게 손해를 가한 자는 그 손해를 배상할 책임이 있습니다. 본 판례에서는 카드사들이 개인정보 유출 방지 의무를 소홀히 한 과실이 인정되어 이 조항에 따른 불법행위 책임이 성립되었습니다.

• 민법 제756조 (사용자의 배상책임)​: 타인을 사용하여 어느 사무에 종사하게 한 자는 피용자가 그 사무집행에 관하여 제3자에게 가한 손해를 배상할 책임이 있습니다. 피고 D 주식회사의 경우, 피용자가 개인정보를 유출한 행위에 대해 사용자로서의 책임이 인정되었습니다.

• 구 개인정보 보호법 제39조 (손해배상책임)​: 개인정보처리자가 개인정보 보호 관련 법령을 위반하여 정보주체에게 손해를 입힌 경우, 정보주체는 개인정보처리자에게 손해배상을 청구할 수 있습니다. 카드사들이 개인정보를 안전하게 관리할 의무를 위반하여 이 조항에 따른 손해배상 책임이 인정되었습니다.

• 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (정보통신망법) 제28조 제1항, 제32조: 정보통신서비스 제공자가 정보통신서비스 이용자의 개인정보를 취급할 때 안전성 확보에 필요한 조치를 취해야 할 의무를 규정하고, 이를 위반하여 손해를 입힌 경우 배상책임을 지도록 합니다. 그러나 본 판례에서는 오프라인으로 신용카드를 발급받은 원고들이 정보통신망법상 '정보통신서비스 이용자'에 해당하지 않아 이 법에 따른 손해배상 책임은 부정되었습니다.

• 신용정보의 이용 및 보호에 관한 법률 (신용정보법)​: 신용카드 이용과 관련된 개인정보(신용정보) 처리에 관해서는 정보통신망법보다 신용정보법이 우선 적용될 수 있습니다.

• 구 전자금융감독규정시행세칙 제9조 제1항 제7호: 전자금융거래 관련 기관이 정보보호를 위해 준수해야 할 기술적, 관리적 조치 사항을 규정합니다. 피고 B 주식회사가 하드디스크 관리 소홀로 이 규정을 위반한 책임이 인정되었습니다.

대법원은 정보통신망법의 입법 취지를 고려할 때, 단순히 정보통신망을 활용한 정보 제공 매개 서비스를 이용하는 모든 이용자를 정보통신망법의 '정보통신서비스 이용자'로 볼 수 없다고 판단했습니다. 그러나 정보통신망법 적용 여부와 관계없이 카드사들은 민법 및 개인정보 보호법에 따라 고객 개인정보를 안전하게 관리해야 할 의무를 부담하며, 이를 위반할 경우 손해배상 책임이 발생한다는 법리를 재확인했습니다.

참고 사항

개인정보 유출 사고 발생 시, 본인이 가입한 서비스 형태(온라인/오프라인)에 따라 적용되는 법률이 달라질 수 있음을 인지해야 합니다. 온라인 서비스를 이용한 기록이 있다면 정보통신망법의 보호를 받을 수 있으나, 오프라인 가입자의 경우 민법상 불법행위나 개인정보 보호법에 따른 책임을 주로 따지게 됩니다. 유출된 정보의 종류, 유출 경위, 기업의 관리 소홀 정도 등에 따라 손해배상 인정 여부와 위자료 액수가 달라질 수 있습니다. 개인정보 유출로 인한 2차 피해를 예방하기 위해 비밀번호를 변경하고 금융 거래 내역을 정기적으로 확인하는 등 적극적인 조치가 필요합니다.