가장 큰 규모의 개인정보 유출 사건으로 수탁사 소속 직원 소행
올해 3월 대법원, 카드 3사 사건의 주범 소속 수탁 개발사 대상으로 623억원 배상 판결
개정 이후 위탁자만큼 수탁자 책임 및 의무 이행 강화로 적극 임해야
■ 방송 : 보안뉴스TV(bnTV) <김진환 변호사의 개인정보 지키다> 11화
■ 진행 : 이소미 보안뉴스 기자
■ 출연 : 김진환 변호사
▲[김진환의 개인정보 지키다] 11화 시작 화면[이미지=보안뉴스]
□ 이소미 기자
bnTV 구독자 여러분, 안녕하세요. 보안뉴스와 김진환 변호사가 함께하는 ‘개인정보 지키다’ 진행에 이소미 기자입니다. 교훈점이 담긴 역대급 개인정보 유출사건 TOP 5 가운데 오늘은 이른바 고양이에게 생선을 맡겼던 사건으로 알려진 ‘카드 3사 개인정보 유출 사건’에 대해 알아보겠습니다. 특히 이 사건은 유출 규모가 해당 사건의 심각성을 말해주는데요. 변호사님, 이 카드 3사 사건에 대한 개요부터 설명해 주시죠.
[카드 3사 개인정보 유출 사건 개요]
■ 김진환 변호사
카드 3사 개인정보 유출 사건의 유출 규모는 약 1억 4백만 건으로 말씀하신대로 우리나라의 역대 개인정보 유출 사건들 중에서 가장 큰 규모의 사건으로 알려져 있습니다. 카드 3사 사건은 카드 회사 3개 사로부터 FDS(Fraud Detection System, 이상금융거래탐지시스템)라는 사기방지시스템의 구축이나 업그레이드를 의뢰받은 수탁 개발사 소속 직원이 사기방지시스템에 관한 용역을 수행하는 과정에서 몰래 개인정보가 담긴 하드디스크를 빼내오거나 USB 메모리에 저장해 가져오는 방법 등을 동원했습니다. 이후 고객들의 개인정보를 유출한 다음 이를 대출 중계 영업 등의 목적으로 활용하는 사람들에게 제공한 사건입니다.
□ 이소미 기자
실제로 위탁 기업에서 수탁을 의뢰한 곳에서 사고가 발생하는 경우가 많이 있잖아요? 이번 사건의 경우도 지난번 다뤘던 GS칼텍스 사건과 비슷하게 물리적인 외형을 갖춘 저장기기 즉 하드디스크·USB메모리에 저장된 개인정보를 유출한 사건입니다.
[수많은 손해배상 민사소송]
□ 이소미 기자
아무래도 유출된 정보가 금융·신용정보 같은 민감 정보들인데다 위탁 기업의 수탁사 소속 직원 관리 감독 부실 등의 문제가 되는 것이 한두 가지가 아니었을 것 같거든요? 그만큼 소송도 많이 제기됐을 것 같고요.
■ 김진환 변호사
네, 맞습니다. 우선 개인정보를 유출한 사람은 물론 이를 제공받아 함부로 이용하려고 했던 사람들 그리고 수탁 개발사를 관리·감독해야 할 카드 3사 소속 직원들이 모두 검찰에 의해 기소돼 유죄판결을 선고받았습니다.
또한 전국 각지에서 수백 건의 손해배상 민사소송이 카드 3사를 상대로 제기됐는데 제 기억에는 대략 카드사 별로 200여 건에서 300여 건 정도의 소송이 제기돼 거의 1천여 건에 가까운 민사소송 재판들이 전국 각지에서 진행됐습니다. 민사소송에서는 대부분의 사건에서 원고당 10만 원의 승소 판결이 내려졌고, 일부 사건에서는 7만 원만을 손해로 인정하는 판결이 선고됐습니다.
다만, 모든 원고들이 승소한 것은 아니고요. 일부 원고들 특히 ‘롯데카드’를 상대로 소송을 제기한 원고들 중에는 적지 않은 규모가 패소하거나 아까 말씀드린 바와 같이 7만 원 정도의 손해만 감액해 인정되기도 했습니다.
□ 이소미 기자
아무래도 유출 정보에 대한 가치가 높고 유출 규모도 상당하다보니 기존 개인정보 유출 사건들에 비해 원고 측 승소율도 높았던 것 같습니다.
[롯데카드의 특수한 유출 사정]
□ 이소미 기자
그런데 왜 유독 ‘롯데카드’사만 원고들의 패소가 많았던 건지 궁금하거든요? 어떤 특별한 이유가 있던 걸까요?
■ 김진환 변호사
롯데카드사의 경우 다른 카드사들에 비해 특수한 사정이 두 가지가 있었습니다. 첫째는 일부 고객들의 개인정보가 유출된 이후에 얼마되지 않아 바로 수사기관에 의해 압수된 경우가 있었고요. 둘째는 역시 일부 고객들의 개인정보 유출 시점이 개인정보 보호법 시행 전인 2010년도에 유출됐다는 것입니다.
특히 수사기관에 압수된 경우는 지난번 말씀 나누었던 GS칼텍스 사건과 같이 유출된 개인정보가 실제로 범인이나 공범의 수중에 있었고, 별도로 외부에 유통되지 않은 사실이 확실했습니다. 따라서 비록 유출은 발생했지만, 해당 정보 주체들(피해자)에게 위자료를 선고할 만큼 실질적인 손해가 발생하지 않았다고 본 것입니다.
아울러 개인정보 보호법이 시행되기 전에 유출된 부분에 대해서는 안정성 확보 등에 관한 조치에 예견 가능성 등이 법 시행 이후와는 다르다고 봐서 재판부는 이 부분에 대해 통상 인정됐던 10만 원 보다 다소 감액된 7만 원만 인정했습니다.
□ 이소미 기자
롯데카드 사건의 경우도 하드웨어·USB 메모리 같은 물리적인 저장장치였기 때문에, 본격적인 피해가 발생하기 전에 수거나 폐기가 용이했던 점도 분명 있었을 것 같습니다.
[카드 3사 개인정보 유출 사건의 교훈점]
□ 이소미 기자
변호사님, 이 카드 3사 사건이 워낙 다양한 쟁점들이 엮여있다보니 이 가운데서 얻을 수 있는 교훈점들도 상당히 많을 것 같습니다.
■ 김진환 변호사
네, 그렇습니다. 카드 3사 개인정보 유출 사건이 워낙 방대한 쟁점들을 다루기도 해서 법률적으로나 사실적으로나 많은 교훈점을 찾을 수 있습니다. 다만, 이 자리에서는 최근 대법원 판결과 관련해 중요 교훈점들을 생각해보고 싶습니다.
올해 3월 경 대법원은 카드 3사 사건의 주범이 소속됐던 수탁 개발사에 대해 카드사가 정보 주체들(피해자)에게 배상한 △손해배상금 △각종 업무 수행 비용 △법률 비용 △신용 훼손에 따른 손해 등을 합쳐 모두 ‘623억 원’이라는 거액을 배상하라는 판결을 확정했습니다.
이번 판결은 일종의 구상권 소송으로 볼 수 있는데요. 카드 3사 중 어느 한 카드사에 대한 판결이므로 나머지 다른 두 개 카드사까지 감안하면 해당 수탁 개발사는 실로 엄청난 손해배상 책임을 지게 됐습니다. 이는 위탁자로부터 개인정보를 수탁받아 처리하는 수탁자도 유출을 비롯해 개인정보 보호법 위반으로 인한 손해가 발생하는 경우 ‘결코 자유롭지 못하다’는 사정을 그대로 보여주는 것입니다.
따라서 수탁자도 위탁자 못지 않게 주인 의식을 가지고 개인정보보호나 각종 의무사항 이행에 대해 적극적으로 임해야 함을 반드시 인식할 필요가 있고요. 특히 소속 임직원에 대한 충실한 교육과 감독을 열심히 이행하지 않으면 ‘회사 자체가 망할 수도 있다!’는 점을 깊이 유의해야 한다고 생각합니다.
[마무리]
□ 이소미 기자
오늘은 개인정보 유출사고 TOP 5 중 ‘카드 3사 개인정보 유출 사건’ 대해 알아봤는데요. 다음 시간에도 계속해서 교훈점이 담긴 역대급 개인정보 유출 사건에 대해 알아보도록 하겠습니다.
‘개인정보 지키다’ 코너에서는 개인정보보호와 관련된 시청자분들의 궁금증들을 해결해 드리려고 합니다. 방송 보시면서 궁금한 사항이나 꼭 다뤄주었으면 하는 내용이 있으시다면 언제든 ‘bntv 소통창구’로 의견 남겨주세요.
이메일 또는 유튜브 댓글로 자유롭게 의견 남겨주시면 방송을 통해 여러분의 궁금증 시원하게 해결해 드리겠습니다. 김진환 변호사와 함께하는 개인정보보호의 모든 것 ‘개인정보 지키다!’ 저희가 오늘 준비한 내용은 여기까지고요.
저희는 다음 시간에 더욱 알찬 내용으로 준비해서 찾아뵙도록 하겠습니다. 시청해 주신 여러분 고맙습니다.
[이소미 기자(boan4@boannews.com)]
올해 3월 대법원, 카드 3사 사건의 주범 소속 수탁 개발사 대상으로 623억원 배상 판결
개정 이후 위탁자만큼 수탁자 책임 및 의무 이행 강화로 적극 임해야
■ 방송 : 보안뉴스TV(bnTV) <김진환 변호사의 개인정보 지키다> 11화
■ 진행 : 이소미 보안뉴스 기자
■ 출연 : 김진환 변호사
▲[김진환의 개인정보 지키다] 11화 시작 화면[이미지=보안뉴스]
□ 이소미 기자
bnTV 구독자 여러분, 안녕하세요. 보안뉴스와 김진환 변호사가 함께하는 ‘개인정보 지키다’ 진행에 이소미 기자입니다. 교훈점이 담긴 역대급 개인정보 유출사건 TOP 5 가운데 오늘은 이른바 고양이에게 생선을 맡겼던 사건으로 알려진 ‘카드 3사 개인정보 유출 사건’에 대해 알아보겠습니다. 특히 이 사건은 유출 규모가 해당 사건의 심각성을 말해주는데요. 변호사님, 이 카드 3사 사건에 대한 개요부터 설명해 주시죠.
[카드 3사 개인정보 유출 사건 개요]
■ 김진환 변호사
카드 3사 개인정보 유출 사건의 유출 규모는 약 1억 4백만 건으로 말씀하신대로 우리나라의 역대 개인정보 유출 사건들 중에서 가장 큰 규모의 사건으로 알려져 있습니다. 카드 3사 사건은 카드 회사 3개 사로부터 FDS(Fraud Detection System, 이상금융거래탐지시스템)라는 사기방지시스템의 구축이나 업그레이드를 의뢰받은 수탁 개발사 소속 직원이 사기방지시스템에 관한 용역을 수행하는 과정에서 몰래 개인정보가 담긴 하드디스크를 빼내오거나 USB 메모리에 저장해 가져오는 방법 등을 동원했습니다. 이후 고객들의 개인정보를 유출한 다음 이를 대출 중계 영업 등의 목적으로 활용하는 사람들에게 제공한 사건입니다.
□ 이소미 기자
실제로 위탁 기업에서 수탁을 의뢰한 곳에서 사고가 발생하는 경우가 많이 있잖아요? 이번 사건의 경우도 지난번 다뤘던 GS칼텍스 사건과 비슷하게 물리적인 외형을 갖춘 저장기기 즉 하드디스크·USB메모리에 저장된 개인정보를 유출한 사건입니다.
[수많은 손해배상 민사소송]
□ 이소미 기자
아무래도 유출된 정보가 금융·신용정보 같은 민감 정보들인데다 위탁 기업의 수탁사 소속 직원 관리 감독 부실 등의 문제가 되는 것이 한두 가지가 아니었을 것 같거든요? 그만큼 소송도 많이 제기됐을 것 같고요.
■ 김진환 변호사
네, 맞습니다. 우선 개인정보를 유출한 사람은 물론 이를 제공받아 함부로 이용하려고 했던 사람들 그리고 수탁 개발사를 관리·감독해야 할 카드 3사 소속 직원들이 모두 검찰에 의해 기소돼 유죄판결을 선고받았습니다.
또한 전국 각지에서 수백 건의 손해배상 민사소송이 카드 3사를 상대로 제기됐는데 제 기억에는 대략 카드사 별로 200여 건에서 300여 건 정도의 소송이 제기돼 거의 1천여 건에 가까운 민사소송 재판들이 전국 각지에서 진행됐습니다. 민사소송에서는 대부분의 사건에서 원고당 10만 원의 승소 판결이 내려졌고, 일부 사건에서는 7만 원만을 손해로 인정하는 판결이 선고됐습니다.
다만, 모든 원고들이 승소한 것은 아니고요. 일부 원고들 특히 ‘롯데카드’를 상대로 소송을 제기한 원고들 중에는 적지 않은 규모가 패소하거나 아까 말씀드린 바와 같이 7만 원 정도의 손해만 감액해 인정되기도 했습니다.
□ 이소미 기자
아무래도 유출 정보에 대한 가치가 높고 유출 규모도 상당하다보니 기존 개인정보 유출 사건들에 비해 원고 측 승소율도 높았던 것 같습니다.
[롯데카드의 특수한 유출 사정]
□ 이소미 기자
그런데 왜 유독 ‘롯데카드’사만 원고들의 패소가 많았던 건지 궁금하거든요? 어떤 특별한 이유가 있던 걸까요?
■ 김진환 변호사
롯데카드사의 경우 다른 카드사들에 비해 특수한 사정이 두 가지가 있었습니다. 첫째는 일부 고객들의 개인정보가 유출된 이후에 얼마되지 않아 바로 수사기관에 의해 압수된 경우가 있었고요. 둘째는 역시 일부 고객들의 개인정보 유출 시점이 개인정보 보호법 시행 전인 2010년도에 유출됐다는 것입니다.
특히 수사기관에 압수된 경우는 지난번 말씀 나누었던 GS칼텍스 사건과 같이 유출된 개인정보가 실제로 범인이나 공범의 수중에 있었고, 별도로 외부에 유통되지 않은 사실이 확실했습니다. 따라서 비록 유출은 발생했지만, 해당 정보 주체들(피해자)에게 위자료를 선고할 만큼 실질적인 손해가 발생하지 않았다고 본 것입니다.
아울러 개인정보 보호법이 시행되기 전에 유출된 부분에 대해서는 안정성 확보 등에 관한 조치에 예견 가능성 등이 법 시행 이후와는 다르다고 봐서 재판부는 이 부분에 대해 통상 인정됐던 10만 원 보다 다소 감액된 7만 원만 인정했습니다.
□ 이소미 기자
롯데카드 사건의 경우도 하드웨어·USB 메모리 같은 물리적인 저장장치였기 때문에, 본격적인 피해가 발생하기 전에 수거나 폐기가 용이했던 점도 분명 있었을 것 같습니다.
[카드 3사 개인정보 유출 사건의 교훈점]
□ 이소미 기자
변호사님, 이 카드 3사 사건이 워낙 다양한 쟁점들이 엮여있다보니 이 가운데서 얻을 수 있는 교훈점들도 상당히 많을 것 같습니다.
■ 김진환 변호사
네, 그렇습니다. 카드 3사 개인정보 유출 사건이 워낙 방대한 쟁점들을 다루기도 해서 법률적으로나 사실적으로나 많은 교훈점을 찾을 수 있습니다. 다만, 이 자리에서는 최근 대법원 판결과 관련해 중요 교훈점들을 생각해보고 싶습니다.
올해 3월 경 대법원은 카드 3사 사건의 주범이 소속됐던 수탁 개발사에 대해 카드사가 정보 주체들(피해자)에게 배상한 △손해배상금 △각종 업무 수행 비용 △법률 비용 △신용 훼손에 따른 손해 등을 합쳐 모두 ‘623억 원’이라는 거액을 배상하라는 판결을 확정했습니다.
이번 판결은 일종의 구상권 소송으로 볼 수 있는데요. 카드 3사 중 어느 한 카드사에 대한 판결이므로 나머지 다른 두 개 카드사까지 감안하면 해당 수탁 개발사는 실로 엄청난 손해배상 책임을 지게 됐습니다. 이는 위탁자로부터 개인정보를 수탁받아 처리하는 수탁자도 유출을 비롯해 개인정보 보호법 위반으로 인한 손해가 발생하는 경우 ‘결코 자유롭지 못하다’는 사정을 그대로 보여주는 것입니다.
따라서 수탁자도 위탁자 못지 않게 주인 의식을 가지고 개인정보보호나 각종 의무사항 이행에 대해 적극적으로 임해야 함을 반드시 인식할 필요가 있고요. 특히 소속 임직원에 대한 충실한 교육과 감독을 열심히 이행하지 않으면 ‘회사 자체가 망할 수도 있다!’는 점을 깊이 유의해야 한다고 생각합니다.
[마무리]
□ 이소미 기자
오늘은 개인정보 유출사고 TOP 5 중 ‘카드 3사 개인정보 유출 사건’ 대해 알아봤는데요. 다음 시간에도 계속해서 교훈점이 담긴 역대급 개인정보 유출 사건에 대해 알아보도록 하겠습니다.
‘개인정보 지키다’ 코너에서는 개인정보보호와 관련된 시청자분들의 궁금증들을 해결해 드리려고 합니다. 방송 보시면서 궁금한 사항이나 꼭 다뤄주었으면 하는 내용이 있으시다면 언제든 ‘bntv 소통창구’로 의견 남겨주세요.
이메일 또는 유튜브 댓글로 자유롭게 의견 남겨주시면 방송을 통해 여러분의 궁금증 시원하게 해결해 드리겠습니다. 김진환 변호사와 함께하는 개인정보보호의 모든 것 ‘개인정보 지키다!’ 저희가 오늘 준비한 내용은 여기까지고요.
저희는 다음 시간에 더욱 알찬 내용으로 준비해서 찾아뵙도록 하겠습니다. 시청해 주신 여러분 고맙습니다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
