신용카드 고객정보 대량 유출에 따른 손해배상 사건

이 판결은 2014년 발생한 대규모 신용카드 고객정보 유출 사건에 대한 손해배상 소송으로, 피고 신용카드사들(A, C, D)과 카드사들의 시스템 개발 용역업체인 F 주식회사의 보안 소홀 및 관리·감독 의무 위반이 인정되어 원고인 피해 고객들에게 위자료를 지급하라는 내용입니다. 핵심적으로 FDS(카드사고분석시스템) 개발 과정에서 용역업체 직원 G가 신용카드 고객정보를 유출하였고, 법원은 카드사들이 개인정보 보호 관련 법규(개인정보 보호법, 신용정보법, 전자금융거래법, 정보통신망법 등)상 안전조치 의무(보안 프로그램 설치 및 관리, 개인정보 암호화, 접근 통제 시스템 운영, 업무위탁 시 감독 의무)를 위반했다고 판단했습니다. 단, 지주회사인 B, E는 자회사 관리·감독 의무가 추상적이라는 이유로 책임이 부정되었으며, 유출된 정보가 제3자에게 실제로 유통되지 않은 일부 건에 대해서는 정신적 손해 발생이 인정되지 않았습니다. 원고들에게는 1인당 10만원의 위자료가 인정되었습니다.

관련 당사자

• 원고들: 피고 A, C, D 신용카드사와 금융거래계약을 맺고 신용카드를 발급받아 사용하고 있거나 사용했던 개인 고객들. 정보 유출로 인한 정신적 손해배상을 청구함.
• 피고 주식회사 A, C, D: 신용카드 및 금융상품 발행, 판매, 관리 사업을 영위하는 회사로, FDS(카드사고분석시스템) 개발 과정에서 고객정보를 유출한 책임이 인정된 신용카드사들.
• 피고 F 주식회사: 금융기관들이 공동 출자하여 설립된 신용조회 및 신용조사 업무를 영위하는 회사. 피고 카드사들의 FDS 개발 용역을 수행했으며, 고객정보 유출을 실행한 직원 G의 사용자로서 연대 책임이 인정됨.
• 피고 주식회사 B, E: 피고 A, D의 지주회사. 자회사 관리·감독 의무는 추상적이라는 이유로 손해배상 책임이 인정되지 않음.
• G: 피고 F 소속 직원(또는 과거 R 소속)으로, FDS 개발 용역 과정에서 피고 A, C, D의 고객정보를 빼내어 유출한 실제 행위자.
• N: G로부터 유출된 고객정보를 전달받아 대출중개 영업 등에 활용한 인물.

분쟁 상황

이 사건은 피고 A, C, D 신용카드사들이 FDS(Fraud Detection System, 카드사고분석시스템) 개발 및 업그레이드를 위해 피고 F 주식회사(또는 R사)에 용역을 위탁하는 과정에서 발생한 대규모 고객정보 유출 사고에 대한 손해배상 소송입니다. 피고 카드사들은 FDS 개발에 필요하다는 이유로 용역업체 직원 G에게 암호화되지 않은 대량의 카드고객정보를 제공했습니다. G는 이러한 환경을 악용하여 수천만 명의 고객정보를 여러 차례 유출했습니다.

• 피고 A 고객정보 유출: 2013년 2월과 6월, G는 피고 A의 FDS 개발 작업 중 보안 프로그램이 미설치된 업무용 컴퓨터에서 약 5,378만 명의 고객정보를 USB 메모리에 저장하여 빼돌렸습니다. 이 정보는 N를 거쳐 대출중개업체 등에 전달되었습니다.
• 피고 C 카드고객정보 유출: 2010년 4월, G는 피고 C 본사에서 FDS 개발 작업 중 하드디스크 포맷 보안 검사를 피해 약 1,023만 명의 고객정보가 저장된 하드디스크를 몰래 가지고 나왔습니다. 이 중 약 255만 명의 정보가 2011년 1월경 N에게 전달되었습니다. 또한 2013년 12월에는 피고 C 사무실에 추가 반입된 보안 프로그램 미설치 컴퓨터를 이용하여 약 2,689만 명의 고객정보를 유출했으나, 이는 제3자에게 유통되기 전에 압수되었습니다.
• 피고 D 카드고객정보 유출: 2012년 6월, 10월, 12월에 걸쳐 G는 피고 D의 FDS 개발 작업 중 보안 취약점을 이용해 약 2,431만 명, 2,511만 명, 2,259만 명의 고객정보를 여러 차례 유출했습니다. 특히 리눅스 운영체제에 보안 프로그램이 설치되지 않는 점, 외장 하드디스크 사용 허용 과정의 보안 미흡을 이용했습니다. 이 정보들은 N를 거쳐 대출중개업체 등에 광범위하게 전파되었습니다. 유출된 정보는 성명, 주민등록번호, 주소, 전화번호, 직장정보, 이메일, 결제계좌, 신용한도, 신용등급 등 개인을 식별하고 사생활과 밀접한 관련이 있는 민감한 내용들을 포함하고 있었습니다. N는 이를 대출 영업 등에 활용하기 위해 대부업체 등에 매도하거나 유포했으며, 이로 인해 피해 고객들은 보이스피싱, 스미싱 등 2차 피해의 우려를 겪게 되었습니다.

핵심 쟁점

이 사건의 주요 쟁점은 다음과 같습니다.

1. 피고 신용카드사들이 개인정보 보호 관련 법령(구 개인정보 보호법, 구 신용정보법, 구 전자금융거래법, 정보통신망법 등)상 안전조치 의무를 제대로 이행했는지 여부입니다. 특히 보안 프로그램의 USB 쓰기 기능 제한, 개인정보 암호화, 접근 통제 시스템 구축 및 운영, 업무위탁 시 수탁업체에 대한 관리·감독 의무를 준수했는지가 핵심적으로 다루어졌습니다.
2. 용역업체 직원 G의 정보 유출 행위에 대해 피고 F 주식회사가 사용자로서의 책임을 부담하는지 여부입니다. 법원은 사무집행 관련성 및 선임·감독상 상당한 주의 의무 위반 여부를 판단했습니다.
3. 피고 지주회사들(B, E)이 자회사인 피고 A, D의 정보 유출에 대해 책임이 있는지 여부입니다.
4. 고객정보 유출로 인한 원고들의 정신적 손해(위자료) 발생 여부 및 그 범위입니다. 유출된 정보의 전파 및 확산 범위, 2차 피해 발생 가능성 등이 고려되었습니다.

법원의 판단

법원은 다음과 같이 판결했습니다.

1. 피고 주식회사 A, F 주식회사: 별지 1 목록 기재 원고들에게 각 100,000원, 별지 5 목록 기재 원고들에게 각 100,000원 및 이에 대한 지연손해금(2014. 3. 14. 또는 2014. 12. 10.부터 2016. 9. 29.까지 연 5%, 그 다음날부터 다 갚는 날까지 연 15%)을 각자 지급하라.
2. 피고 C 주식회사: 별지 2-1 기재 원고들에게 각 100,000원 및 이에 대한 지연손해금(2014. 3. 13.부터 2016. 9. 29.까지 연 5%, 그 다음날부터 다 갚는 날까지 연 15%)을 지급하라.
3. 피고 D 주식회사, F 주식회사: 별지 3-1 목록 기재 원고들에게 각 100,000원, 별지 7 목록 기재 원고들에게 각 100,000원 및 이에 대한 지연손해금(피고 D은 2014. 3. 13.부터, 피고 F는 2014. 3. 14. 또는 2014. 12. 10.부터 2016. 9. 29.까지 연 5%, 그 다음날부터 다 갚는 날까지 연 15%)을 각자 지급하라.
4. 원고들의 나머지 청구 기각: 피고 A, F에 대한 나머지 청구, 피고 C에 대한 나머지 청구, 피고 D, F에 대한 나머지 청구를 기각하며, 별지 2-1 원고들의 피고 F에 대한 청구(2010년 4월 유출), 별지 2-2, 6 원고들의 피고 C, F에 대한 청구(2013년 12월 유출), 별지 3-2 원고들의 피고 D, F에 대한 청구는 기각되었다. 이는 주로 해당 정보 유출 건에 대한 피고 F의 사용자 책임 불인정(2010년 4월 유출) 또는 정신적 손해 발생이 인정되지 않거나 원고들의 입증이 부족했기 때문이다.
5. 피고 B, E 주식회사: 원고들의 피고 B, E에 대한 모든 청구를 기각하였다.
6. 소송비용은 각 원고들과 해당 피고들 사이에 생긴 부분의 1/2은 원고들이, 나머지는 피고들이 각각 부담한다. 제1항은 가집행할 수 있다.

결론

법원은 피고 A, C, D 신용카드사들과 F 주식회사가 개인정보 보호 관련 법규에서 정한 안전조치 의무(보안 프로그램 관리, 암호화, 접근 통제, 위탁업체 감독 등)를 소홀히 하여 고객정보 유출에 대한 손해배상 책임이 있다고 판단했습니다. 특히 개인정보 유출로 인한 정신적 손해를 1인당 10만 원으로 인정하여 배상을 명했습니다. 그러나 지주회사인 B와 E의 책임은 인정하지 않았고, 유출은 되었으나 제3자에게 실질적으로 유통되지 않은 일부 정보(피고 C의 2013년 12월 유출, 피고 D의 2012년 12월 유출 정보 중 피고 D이 보유·관리하던 정보가 아닌 경우)에 대해서는 정신적 손해 발생을 인정하지 않았습니다. 이 판결은 기업의 개인정보 보호 책임과 외부 용역업체 관리의 중요성을 다시 한번 강조하는 중요한 선례가 됩니다.

연관 법령 및 법리

이 사건 판결에서 적용된 주요 법령 및 법리는 다음과 같습니다.

1. 개인정보 보호법: 이 사건의 핵심 적용 법률로, 개인정보처리자에게 개인정보의 안전성 확보 의무(제29조), 업무위탁 시 수탁자에 대한 감독 의무(제26조), 고유식별정보 처리 제한(제24조) 등을 부과합니다. 법원은 피고 카드사들이 보안 프로그램 관리 소홀, 개인정보 암호화 미비, 접근 통제 미흡, 업무 위탁 시 감독 의무 위반으로 이 법을 위반했다고 보았습니다. 특히 '개인정보의 기술적·관리적 보호조치 기준'(행정안전부 고시)을 충족했는지 여부가 중요한 판단 기준이 되었습니다.
2. 신용정보의 이용 및 보호에 관한 법률 (구 신용정보법)​: 신용정보회사 등의 임직원이 업무상 알게 된 타인의 신용정보 등을 업무 목적 외에 누설하거나 이용하여서는 아니 된다는 규정(제19조)이 있습니다. 이 법은 개인정보 보호법에 대한 특별법적 지위에서 부분적으로 적용될 수 있으나, 이 사건에서는 개인정보 보호법의 규정이 더 강화되어 주된 판단 근거가 되었습니다.
3. 전자금융거래법: 금융회사 등에게 전자금융거래의 안정성과 신뢰성을 확보하기 위한 안정성 확보 의무(제21조 제2항)를 부과합니다. 법원은 이 규정 및 이를 구체화한 전자금융감독규정, 시행세칙에 따라 암호화되지 않은 고객정보 제공 및 저장매체 관리 소홀이 위법하다고 보았습니다.
4. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (정보통신망법)​: 정보통신서비스 제공자에게 개인정보의 안전성 확보에 필요한 기술적·관리적 조치 의무(제28조)를 부과합니다. 피고 C의 2010년 유출 건에 대해 피고 C가 인터넷 홈페이지를 통해 카드회원을 모집하고 서비스를 제공한 점을 근거로 정보통신망법상 정보통신서비스 제공자에 해당하며 해당 규정이 적용된다고 판단했습니다.
5. 민법 제750조 (불법행위 책임)​: 고의 또는 과실로 타인에게 손해를 가한 자는 그 손해를 배상할 책임이 있다는 일반 불법행위 원칙입니다. 카드사들의 보안 미흡 및 관리 소홀이 과실로 인정되어 손해배상 책임의 근거가 되었습니다.
6. 민법 제756조 (사용자 책임)​: 타인을 사용하여 어느 사무에 종사하게 한 자는 피용자가 그 사무집행에 관하여 제3자에게 가한 손해를 배상할 책임이 있다는 원칙입니다. 법원은 G가 피고 F의 직원이자 FDS 개발 용역 업무를 수행하던 중 정보를 유출했으므로, 피고 F가 G에 대한 사용자로서 사용자 책임을 부담한다고 판단했습니다. 다만, G가 R 소속이던 2010년 4월 유출 건에 대해서는 피고 F의 사용자 책임이 부정되었습니다.
7. 금융지주회사법: 금융지주회사의 자회사 등에 대한 내부통제 및 위험관리 업무를 규정하나, 이 사건에서는 지주회사 B, E가 자회사의 일반 고객에 대한 직접적인 관리·감독 의무나 손해배상 책임을 부담한다고 보기 어렵다고 판단되어 책임이 부정되었습니다.

참고 사항

유사한 문제 상황에 처했을 때 다음 내용을 참고할 수 있습니다.

1. 철저한 개인정보처리시스템 보안 강화: 기업은 외부 용역업체 직원의 업무용 컴퓨터를 포함하여 모든 개인정보처리시스템에 USB 메모리 등 외부 저장매체의 쓰기 기능을 엄격히 통제하는 보안 프로그램을 의무적으로 설치하고, 그 설치 및 작동 여부를 정기적이고 개별적으로 확인해야 합니다. 윈도우즈 외의 운영체제(예: 리눅스) 환경에서도 동일한 수준의 보안이 유지되도록 특별한 조치를 취해야 합니다.
2. 개인정보 암호화 및 접근 통제 의무 준수: 고유식별정보를 포함한 민감한 개인정보는 저장 및 전송 시 반드시 암호화해야 합니다. 외부 용역업체에 암호화되지 않은 개인정보를 제공해야 할 부득이한 경우라도, 이는 극히 제한적으로 최소한의 범위 내에서 이루어져야 하며, 이때에는 내부 직원이 반드시 입회하여 실시간으로 감시·감독함으로써 정보 유출 가능성을 원천 차단해야 합니다. 개인정보 접근 권한은 업무상 필요한 최소한의 범위로 제한하고, 공유 폴더 등을 통한 무분별한 정보 공유를 엄격히 금지해야 합니다.
3. 업무위탁 계약 시 감독 의무 명확화 및 이행: 개인정보 처리 업무를 외부 업체에 위탁할 경우, 계약서에 개인정보의 기술적·관리적 보호조치, 접근 제한, 유출 방지 대책, 위반 시 책임 등 개인정보 보호 관련 법령에서 정한 사항을 문서로 구체적으로 명시해야 합니다. 또한 수탁업체가 개인정보 보호조치를 제대로 이행하는지 정기적이고 상시적으로 감독해야 하며, 현장 책임자 지정, 보안 교육 실시, 전산장비 반출입 통제 등 구체적인 관리·감독 절차를 수립하고 이를 철저히 이행해야 합니다.
4. 정보 유출 후 신속하고 투명한 대처: 정보 유출 사고 발생 시 지체 없이 정보 주체에게 유출 사실을 알리고, 2차 피해 방지를 위한 구체적인 대처 방안을 안내해야 합니다. 유출 정보 조회 서비스, 피해 신고 센터 운영, 금융명의보호 서비스 제공 등 피해 최소화를 위한 다각적인 노력을 기울여야 합니다. 이러한 사후 조치 불이행도 추가적인 손해배상 책임으로 이어질 수 있습니다.
5. 정신적 손해 배상 기준 이해: 개인정보 유출로 인한 정신적 손해는 단순히 정보 유출 자체만으로는 인정되기 어려울 수 있습니다. 유출된 정보가 제3자에게 실제로 열람되거나 악용될 가능성이 사회통념상 합리적으로 인정될 때 위자료가 인정될 수 있습니다. 유출의 경위, 정보의 민감성, 전파 및 확산 범위, 실제 유통 여부 등을 종합적으로 고려하여 법원이 판단합니다. 피해를 입증하기 위한 노력이 중요합니다.