1억 건이 넘는 신용카드 고객정보를 유출 시킨 혐의로 재판에 넘겨진 KB국민카드·롯데카드·농협은행에 대한 대한 벌금형이 14일 확정됐다. /더팩트DB |
관리 소홀로 용역 직원 유출 방조
[더팩트│황원영 기자] 사상 최악의 정보유출 사건으로 꼽혔던 2012~2013년 카드사 정보유출 사건이 6년여 만에 결론 났다. 신용카드 고객정보를 유출시킨 데 대한 카드사들의 책임을 대법원이 인정하면서다. 당시 빠져나간 개인정보는 1억건으로 사실상 경제활동 인구 대다수가 피해자가 됐다. 다만, 피해 고객들이 받은 보상금은 단 10만 원에 불과해 개인정보보호법과 피해자 보상을 강화해야 한다는 목소리가 나온다.
대법원 2부(주심 노정희 대법관)는 개인정보보호법 위반 혐의로 재판에 넘겨진 KB국민카드·롯데카드·농협은행의 상고심에서 유죄로 판결한 원심을 확정했다고 14일 밝혔다.
이에 따라 농협은행과 KB국민카드는 각각 벌금 1500만 원, 롯데카드는 벌금 1000만 원을 물게 됐다. 이는 법원이 내릴 수 있는 최고 형량이다. 개인정보처리자의 과실로 정보가 분실·도난됐을 경우 최대 벌금 1000만 원에 처한다. 같은 범행이 2회 이상 반복될 경우 벌금은 1500만 원으로 올라간다.
이들 회사는 2012∼2013년 신용카드 부정사용예방시스템(FDS) 개발 과정에서 용역업체(코리아크레딧뷰로) 직원 박 모씨가 고객정보를 빼가도록 업무 관리를 소홀히 한 혐의를 받는다.
유출된 정보는 이름, 주민번호, 휴대전화번호, 신용카드번호, 카드 한도, 유효기간, 카드 결제금액 등 민감한 내용이었다.
농협은행은 2012년 6월 2197만명, 10월 2235만명 등 4432만건의 고객 정보가 유출됐다. 국민카드는 이듬해 2월과 6월 두 차례에 걸쳐 4321만명, 롯데카드는 2013년 12월 1759만명의 정보가 새 나갔다. 총 1억326만 건의 개인정보가 빼돌려진 셈이다.
조사 결과에 따르면 카드사는 직원 박 씨에게 개인정보를 암호화 없이 줬다. 박 씨는 USB 등을 통해 회사 밖으로 가지고 나갈 때도 아무런 통제를 받지 않은 것으로 드러났다. 해당 직원은 빼돌린 개인정보를 대출 알선업자에게 넘기고 그 대가로 수천만 원을 챙겼다.
범행을 저지른 박 씨는 신용정보법 위반 혐의로 기소돼 2014년 징역 3년이 확정됐다. 3개 회사는 고객정보 관리를 소홀히 한 혐의로 2015년 기소됐다.
1심은 "정보 유출 피해를 당한 주체에게 정신적 고통을 줄 뿐만 아니라 2차 피해를 가져올 수 있는 대단히 중대하고 심각한 문제"라며 3사에 법정 최고액의 벌금형을 선고했다.
각 회사는 무죄를 주장하며 항소했지만 2심은 이를 모두 기각했다. 대법원도 1심 판단이 옳다고 봤다.
법정 최고 형량이 확정됐지만, 피해자들 사이에서는 처벌 강도에 대한 불만이 나오고 있다. 1억 건이 넘는 개인정보가 유출됐음에도 불구하고 1000만~1500만 원 수준의 벌금형을 받는 데 그쳤기 때문이다. 특히, 당시 정보 유출 피해로 카드사에 민사 소송을 건 고객들이 받은 보상금은 1인당 약 10만 원에 불과했다. 이마저도 소송에 참여하지 않은 피해자들에 대한 별도 보상은 이뤄지지 않았다.
이를 두고 개인정보보호법을 유럽연합(EU) 개인정보보호규정(GDPR) 수준으로 강화해야 한다는 의견이 나오고 있다. 개인정보 유출에 따른 2차 피해가 발생할 수 있고, 소비자들에게 금전적 뿐 아니라 정신적으로도 손해를 끼칠 수 있기 때문이다. 징벌배상제, 집단소송제도 입증책임의 전환 등 소비자 권익 3법의 조속한 제정이 필요하다는 목소리도 나온다.
또한, 카드사들 역시 개인정보 중요성을 인식하고 보호책임을 강화해야 한다는 지적이다. 대규모 유출 사건이 발생했음에도 불구하고 지난해 7월에는 구형 신용카드 결제단말기(POS)를 통해 57만 개에 이르는 신용카드와 체크카드의 번호와 유효기간이 유출된 것으로 확인돼 논란이 됐다.
업계 관계자는 "한번 유출된 개인정보는 여러 데이터와 결합해 계속해서 재생산 및 거래돼 회수하는 게 사실상 불가능하다"며 "개인정보가 유출되지 않도록 개인과 금융사가 다양한 대책을 마련하고 유출 피해에 대한 사후 조치 강화도 이뤄져야 할 것"이라고 말했다.
wony@tf.co.kr