지난 2012년 발생한 케이티(KT)의 대규모 고객 개인정보 유출 사고에 대해 케이티가 고객들에게 손해배상을 할 책임이 없다는 대법원 판결이 나왔다.
대법원 1부(주심 권순일 대법관)는 28일 강아무개씨 등 정보유출 피해자 341명이 케이티를 상대로 낸 손해배상 청구소송 상고심에서 원고 쪽 상고를 기각해 원고패소로 판결한 원심을 확정했다. 같은 재판부는 또 또 다른 피해자 100명이 케이티를 상대로 낸 소송에서도 원고 한 사람당 10만원을 배상하라고 판결한 원심을 깨고 원고패소 취지로 사건을 서울고법으로 돌려보냈다.
재판부는 “별도의 인증서버를 둔 케이티의 접근통제시스템 자체가 불완전하지도 않았고, 케이티가 개인정보 등의 송·수신 암호화 의무를 위반하지도 않았다. 적어도 국내에선 이번 사고처럼 인증서버를 우회하는 방식의 해킹이 성공한 적이 없었던 상황에서, 케이티가 인증서버에 저장된 접속기록을 확인·감독한 이상 개인정보 처리 등에 관한 확인·감독을 게을리했다고 보기도 어렵다”고 판단했다. 정보보안 기술수준 등을 고려할 때 케이티가 “사고 당시 사회통념상 합리적으로 기대할 수 있는 정도의 보호조처를 다 한 것”으로 보인다는 취지다.
2012년 7월 발생한 케이티 개인정보 유출 사고는 최아무개씨 등 해커에 의해 케이티 가입자 870만명의 개인정보가 유출된 사건이다. 케이티는 유출 사태를 5개월간 파악조차 하지 못했던 것으로 드러났다. 이에 강씨 등은 "케이티의 관리·감독 부실로 개인정보가 유출돼 사생활의 자유와 인격권, 개인정보 자기결정권 등을 침해당했다"며 1인당 50만원씩을 배상하라는 소송을 냈다.
강씨 등 341명의 소송에서 1심 재판부는 “케이티가 사내 통신망에 대한 관리를 소홀히 했고, 데이터베이스에 중요 정보도 암호화하지 않고 저장했다"며 피해자들에게 10만원씩 배상하라고 판결했다. 그러나 2심 재판부는 "케이티가 개인정보 유출방지에 관한 기술적·관리적 보호조처를 게을리했다고 보기 어렵다”며 케이티에 책임이 없다고 판단했다.
또 다른 피해자 100명이 제기한 소송에서는 1·2심 모두 케이티의 책임을 인정해 피해자들에게 10만원씩 지급하라고 판결했다. 2심 재판부는 “케이티가 퇴직자의 개인정보처리시스템에 대한 접근권한을 말소하지 않았고, 확인·감독도 게을리했다”고 판단했다.
대법원은 하급심 판결이 엇갈린 두 사건 모두 케이티의 배상 책임이 없다고 판단했다. 여현호 선임기자
yeopo@hani.co.kr
![[사설] 노동자 안전 뒷전 중대재해법 후퇴가 민생 대책인가](http://flexible.img.hani.co.kr/flexible/normal/300/180/imgdb/child/2024/0116/53_17053980971276_20240116503438.jpg "[사설] 노동자 안전 뒷전 중대재해법 후퇴가 민생 대책인가")
![[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ①국내서](http://flexible.img.hani.co.kr/flexible/normal/800/320/imgdb/original/2023/1228/20231228503768.jpg "[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ①국내서")
![[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ②번역서](http://flexible.img.hani.co.kr/flexible/normal/500/300/imgdb/original/2023/1228/20231228503807.jpg "[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ②번역서")
