개인정보 유출 300만원 배상 받을까… ‘여기어때’ 징벌적 손배제 촉각

강은성기자 ┗

메뉴열기 검색열기

개인정보 유출 300만원 배상 받을까… ‘여기어때’ 징벌적 손배제 촉각

강은성 기자   esther@
입력 2017-09-10 13:44

'징벌적 손해배상제' 첫 적용
피해액 최대 3배까지 청구 가능
'최고형'인 300만원 판결 가능성
'입증 책임' 유출기업으로 전환
위드이노베이션 '타격' 불가피


사진=여기어때 공식홈페이지

[디지털타임스 강은성·진현진 기자]주민등록번호 등 중요 개인정보는 물론 모텔 등 숙박업체 투숙 기록까지 탈취당한 '여기어때'가 피해자들에게 인당 최대 300만원의 손해배상을 해야 하는 상황이 됐다. 개정 법률에 따라 징벌적 손해배상제와 법정 손해배상제가 처음 적용되기 때문이다.

10일 방송통신위원회와 법조계에 따르면 여기어때를 운영 중인 위드이노베이션은 2016년 7월 25일자로 개정한 '정보통신망이용촉진및정보보호등에관한법률(이하 정보통신망법)'에 따라 정보유출 피해자들에 대한 징벌적 손해배상 및 법정 손해배상 청구 대상이 됐다.

여기어때는 지난 3월 해킹 공격을 받아 가입자의 숙박예약정보 323만9210건과 회원 개인정보 17만8625건을 탈취당했다. 중복자를 제외하면 97만1877명이 개인정보를 도둑맞았으며, 당시 'XX님 X월X일 XX(숙박업체 이름)에서 황홀한 밤 보내셨나요' 등 수치심을 유발하는 문자 4817건이 당사자에게 발송돼 논란은 더욱 커졌다. 이에 방통위는 지난 8일 전체회의를 열고 위드이노베이션에 대해 △과징금 3억100만원 △과태료 2500만원 △책임자 징계권고 △위반행위의 중지 및 재발방지대책 수립 시정명령 △시정명령 처분사실 공표 등의 행정처분을 의결했다.

징계 금액 자체는 3억2600만원으로 크지 않지만 법에 규정된 징계 상한선인 '매출액 3%'에 해당하는 금액과 대표이사 및 담당자 '징계'까지 내려 현행법상 최고수준의 징계를 받은 첫 사례가 됐다.

특히 위드이노베이션은 행정 처분 뿐만 아니라 정보유출 피해자에 대한 실질적인 손해배상이나 피해구제를 이행해야 한다. 그동안 수억건의 정보유출 사고가 발생했지만 피해자들은 실제 피해규모와 금액을 특정하기 어려워 사실상 유출 기업으로부터 배상을 받지 못했다. 일부 피해자들은 집단소송 등을 통해 민사상 손해배상을 요구하기도 했으나 법률의 허점이 많아 상급심에서 정보유출 기업이 승소하는 어처구니없는 결과를 낳았다. 이에 정부와 국회는 정보통신망법을 개정해 개인정보를 유출한 기업이 피해자에게 실질적인 피해구제를 하도록 법적 근거를 마련했다.

◇징벌적 손배로 정보유출 피해구제=개정 정보통신망법 제32조와 제32조의 2에 의거 유출 피해자들은 위드이노베이션에 피해액의 최대 3배까지 배상받을 수 있는 '징벌적 손해배상'을 청구하거나 최대 300만원 한도 내에서 법정 손해배상을 청구할 수 있다. 징벌적 손해배상과 법정 손해배상이 적용된 것은 이번이 처음이다.


방통위는 특히 위드이노베이션이 이용자 개인정보보호를 위한 기술적, 관리적 보호조치에 상당히 소홀해 해킹을 통한 정보유출을 자초했다며 '매우 중대한 위반행위'를 했다고 지적했다. 방통위 조사에 따르면 위드이노베이션은 정보통신망법에서 정한 접근통제, 접속기록 보존, 암호화, 유효기간제 등 개인정보 보호조치 규정 다수를 위반했다.

이에 따라 위드이노베이션은 징벌적 손해배상이나 법정 손해배상에서 '최고형'인 300만원 배상을 판결받을 가능성도 높아졌다.

개인정보보호 전문 법률가인 김경환 법무법인 민후 대표변호사는 "그간의 판례를 살펴보면 규제 기관의 행정처분이 실제 법정에서 주요 판단근거로 활용되기도 했다"면서 "방통위가 지적한 '중대한 위반행위'라는 처분은 민사상 손해배상 사유의 '고의 또는 중대과실'에 해당해 손해배상은 물론, 최고 수준의 배상액 판결을 받을 가능성이 높다"고 말했다.

그는 또 "그동안 손배소에서 유출 피해자들이 잇따라 패소한 이유는 구체적인 피해 사실과 규모를 피해자가 직접 입증해야 했기 때문"이라면서 "이번에 개정된 법률은 '입증 책임'이 피해자가 아닌 유출 기업으로 '전환'됐기 때문에 위드이노베이션이 자신들의 '결백'이나 '고의성 없음'을 증명하지 못하는 한 징벌적 손해배상이나 법정 손해배상을 이행해야 할 가능성이 높아졌다"고 설명했다.

다만 위드이노베이션이 손해배상 능력이 없다며 '파산'을 선언하면 피해자들은 재판에서 이겨도 배상을 받을 수 없게 된다. 김 변호사는 "실제 민사 소송이 매우 활발한 미국이나 유럽의 기업들은 정보유출 이후 기업이 막대한 과징금과 손배소를 감당하지 못하고 파산한 경우가 많다"면서 "이번 사례는 고객의 정보를 이용해 이윤을 챙긴 기업이 정작 고객정보를 소홀히 관리했을 경 망할 수도 있다는 경종을 울리는 사례가 된다는 점에서 의미가 있다"고 강조했다.

강은성·진현진기자 esther@dt.co.kr

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]