개인정보 관련 집단소송 사례 세 번째로, 우리나라 개인정보보호 역사에 크나큰 공헌을 한 역대 10대 개인정보 관련 집단소송 사례들을 정리함으로써 개인정보보호의 역사가 어떻게 흘러왔는지를 살펴보고자 한다.

7. [2008. 3.] 엘지텔레콤(현 엘지유플러스) 사건

엘지유플러스는 콘텐츠 제공업체들로부터 제공받은 모바일 콘텐츠를 이용자들에게 제공하고 있기에 서비스 제공을 위해 콘텐츠 제공업체로 하여금 부여받은 아이디와 패스워드를 통해 엘지유플러스의 고객정보 시스템에 접속할 수 있게 하고 있었다. 한편, 엘지유플러스의 CP인 코디너스는 엘지유플러스에 ‘mive’라는 연예인 화보 및 풍경 서비스를 제공하기 위해 엘지유플러스로부터 아이디 및 패스워드를 부여받았다.

그런데 엘지유플러스의 CP로 가입하려는 엠샵사이트는 아직 CP로 가입하지 않은 상태에서 엠샵사이트와 엘지유플러스의 연동을 시험하는 과정에서 인증이 이루어지지 않자, 코디너스에 요청하여 코디너스의 CP 아이디와 패스워드를 제공받았는데, 이후 아이디와 패스워드를 삭제하지 않음으로써 그 이후에도 엠샵사이트에서 휴대폰 번호를 입력하면 폰정보 조회가 가능하게 되었다.

갑은 우연히 엠샵사이트에서 엘지유플러스에 가입된 자신의 휴대폰 번호를 입력하면 주민등록번호, 가입일자, 휴대폰 기종 등의 정보가 URL에 나타나는 사실을 알게 되자, 친구인 을에게 위 사실을 알려 주었다. 을은 ‘폰정보 조회’ 페이지에서 키보드의 시프트 키를 누른 상태에서 휴대폰 번호를 입력하자 특정 URL이 나타났는데, 그 URL 뒷부분에 주민등록번호, 가입일, 휴대폰 기종 등이 그대로 표시되는 것을 확인하게 되자, 위 URL의 소스를 확보한 다음 자신이 2001년경부터 운영하는 개인 홈페이지에 ‘휴대폰 정보조회’라는 페이지를 만들었다. 이에 개인정보가 유출된 피해자들이 엘지유플러스와 코디너스를 상대로 손해배상청구를 하기에 이르렀다.

이 사건에서의 주요 쟁점은, 엘지유플러스가 코디너스에 아이디와 패스워드를 부여한 것이 원고들의 동의를 얻지 아니하고 원고들의 개인정보를 제공 또는 위탁한 것인지 여부, 누구라도 엠샵사이트에 접속하여 원고들의 개인정보인 주민등록번호를 알 수 있는 상태에 이르러 원고들에게 정신적 손해가 발생하였는지 여부, 엘지유플러스가 개인정보의 기술적·관리적 보호조치 의무를 이행하지 않았는지 여부, 코디너스의 아이디·패스워드 관리 부실에 대하여 엘지유플러스가 사용자책임을 지는지 여부 등이었다.

이에 대해 1심 법원은 엘지텔레콤측은 최소한의 보안장치도 마련하지 않은 채 800만명에 이르는 가입자 정보가 저장돼 있는 서버를 허술히 관리한 것으로 드러났다며, 원고 1인당 5만원을 지급하라는 원고 승소 판결을 선고했다.

그러나 항소심 법원은 이에 대해, 첫째, ‘mive’를 사용하는 이용자는 자신의 주민등록번호를 이미 코디너스에 제공했으므로 엘지유플러스의 사용자 인증에 대하여도 자신들의 주민등록번호 제공을 동의했다고 봄이 상당하고 엘지유플러스가 코디너스에 아이디와 패스워드를 부여했다고 하여 코디너스에 원고들의 개인정보를 제공 또는 위탁했다고 볼 수 없다.

둘째, ‘폰정보 조회’ 페이지에서 나타나는 정보는 색상, 액정크기 등에 불과하며 을과 같은 컴퓨터 전문가에 의해 분석을 거쳐야만 비로소 주민등록번호를 알 수 있으므로 개인정보를 URL에 그대로 붙여서 평문으로 전송된다는 사정만으로 원고들의 개인정보가 엘지유플러스의 관리통제권을 벗어나 제3자가 알 수 있는 상태에 이르렀다고 보기 어렵다고 해석했다. 또한, 설사 누구라도 엠샵사이트에 접속하여 원고들의 주민등록번호를 알 수 있는 상태에 이르게 하여 원고들 및 엘지유플러스의 원고들의 주민등록번호에 대한 관리·통제권을 벗어나 제3자가 알 수 있는 상태에 있었다 하더라도, 원고들의 주민등록번호가 그 의사에 반하여 실제로 검색되지 않았기에 검색될 수 있는 상태에 있다는 사정만으로 원고들에게 위자할 정도의 정신적 고통이 있었다고 볼 수 없다.

셋째, 엘지유플러스가 원고들 주장과 같이 주의의무를 위반했다 하더라도 그 자체만으로 원고들의 사생활의 비밀과 자유를 침해했다고 볼 수 없고, 위와 같이 원고들의 주민등록번호가 누출되었거나 원고들이 정신적 고통을 받았다고도 볼 수 없다.

넷째, 엘지유플러스가 코디너스에 대하여 사용자로서의 지위를 가지고 있고, 코디너스가 CP 계정을 제대로 관리하지 못했다 하더라도, 원고들의 개인정보가 누출되지 아니하고 금전으로 위자할 정도의 정신적 고통을 받았다고 볼 수 없는 이상 코디너스가 CP 아이디와 패스워드를 제대로 관리하지 아니한 사정만으로는 어떠한 불법행위가 성립한다고 볼 수 없다고 판시하였다.

이에 원고들은 상고했고, 현재 상고심 계속 중이다(2011다24555, 2011다24562).

8. [2008. 7.] 다음(Daum) 개인정보유출 사건

다음커뮤니케이션은 서비스 이용자가 다음에 접속하면 본인의 마지막 로그인 기록을 보여주는 기능을 추가한 프로그램을 개발해, 2008. 7. 22. 15:10경 이용자들을 대상으로 배포했다.

그런데 위 프로그램에 오류(일명 ‘버그’)가 발생해 동시간대에 다음 서버에 접속한 이용자들이 어떤 서비스를 요청한 경우 마지막에 서비스를 요청한 이용자의 이메일 정보가 동시에 접속한 다른 이용자들에게 노출되는 사고가 발생했다.

이 사건 사고 당시 로그기록을 분석한 결과에 의하면, 이 사건 사고로 인해 자신의 메일 내용을 다른 사람이 본 이용자는 최대 307명, 자신의 메일에 첨부된 파일을 다른 사람이 다운로드한 이용자는 최대 141명인 것으로 확인됐다. 이에 피해자들은 다음을 상대로 손해배상청구를 하기에 이르렀다.

이 사건에서의 주요 쟁점은 피고 다음에게 주의의무위반이 있는지 여부였다.

이에 대해 법원은, 오늘날 인터넷을 통한 정보의 전달과 이용은 일반인에게도 필수적인 것이 되고 있고, 이를 보다 편리하고 안전하게 이용하기 위하여 새로운 프로그램을 개발하거나 기존 프로그램의 성능 개선을 원하는 고객들의 수요가 매우 큰 반면, 현재의 기술수준과 경제성에 비추어 프로그램 개발 과정에서 버그 발생 가능성을 완전히 배제하는 것은 거의 불가능한 바, 따라서 이 사건 사고로 인하여 원고들에게 금전으로 위자하여야 할 손해가 발생하였다거나, 피고에게 주의의무 위반이 있었다는 점을 인정하기 어렵다고 판시했다.

당시 판결은 프로그램 개발 과정에서 발생하는 오류에 대하여 기업이 책임을 부담하는지에 관한 판결이다. 법원은 이 사건 사고에 대하여 본질적으로 새로 개발한 프로그램에 발생한 버그에 의한 것으로서, 피고가 영업상 이익을 추구하는 과정에서 개인정보보호 시스템에 중대한 하자를 야기하거나 이를 방치하는 등으로 개인정보 보호를 태만히 하여 발생한 것으로 볼 수는 없다고 판시한 것이다.

9. [2008. 7.] GS칼텍스 개인정보 유출사건

원고들은 GS칼텍스가 제공하는 구매금액 등에 따라 포인트가 적립되는 주유 관련 보너스카드의 회원으로 가입하면서 GS칼텍스에 이름, 주민등록번호, 자택주소, 자택전화번호, 회사주소, 회사전화번호, 핸드폰번호, 이메일주소 등 개인정보를 제공했다.

GS칼텍스는 원고들을 비롯해 보너스카드 회원으로 가입한 고객들의 개인정보를 ‘보너스카드 데이터베이스’를 구축해 관리하고, 위 보너스카드 데이터베이스에서 고객들의 개인정보를 추출하여 ‘CSC(고객서비스센터) 데이터베이스’를 구축했으며, GS넥스테이션은 GS칼텍스로부터 위 CSC 운영업무 및 관련 장비 유지·보수 업무 등을 위탁받아 이를 수행했다.

그러던 중 갑은 동료직원인 GS넥스테이션의 CSC팀 소속 을과 함께 위 CSC DB 접근권한을 이용해 고객정보를 빼낸 후 이를 시중에 판매하거나 집단소송을 의뢰받을 변호사에게 판매하는 방법 등으로 금원을 취득하기로 모의했고, 이에 갑은 2008년 7월 8일경부터 같은 달 20일경까지 GS넥스테이션 관리팀 사무실에서, 자신이 사용하는 사무용 컴퓨터를 이용해 데이터베이스 원격관리 프로그램인 PLSQL Deve loper에 평소 업무상 알고 있던 계정명 ‘lgcsc’와 비밀번호를 입력하여 CSC서버에 접속한 후 보너스카드 회원 11,517,125명의 성명, 주민등록번호, 주소, 전화번호, 이메일 주소 등 고객정보를 자신의 위 사무용 컴퓨터로 전송 받았다.

갑은 2008. 8. 29. 자신이 편집한 DVD 1장을 병에게 전달해 주었고 병은 2008년 8월 28일경 변호사 사무실 사무장으로 재직하고 있던 정에게 GS칼텍스 보너스카드 회원 1,200만명의 개인정보를 가지고 있는데, 이를 넘겨 줄테니 GS칼텍스를 상대로 한 집단소송에 활용하고 그 수익을 달라고 제의했고, 이에 정은 집단소송을 위해서는 우선 개인정보 유출 사실이 언론에 보도되어 사회문제가 되어야 한다고 말했다.

이에 병은 모 매체 기자 등을 만나 ‘도심 쓰레기 더미에서 GS칼텍스의 고객정보가 담긴 DVD를 주웠다’는 취지로 말하며 기자 등에게 샘플 CD와 DVD를 교부했다.

갑 등은 언론보도가 나간 이후 각 검거되었고 갑 등이 소지하고 있던 고객정보가 수록된 CD, DVD, USB, 외장형 하드디스크 및 위 작업에 사용된 컴퓨터, 노트북 등은 모두 압수되었거나 폐기됐으며 기자들에게 제공된 CD 및 DVD는 언론보도 이후 전량 임의제출됐다.

이 사건에서의 주요 쟁점은, 개인정보가 유출되어 원고들에게 정신적 손해가 발생했는지 여부였다.

이에 대해 1심 법원은 피고들에게 개인정보 누출로 인한 손해배상책임을 지우기 위해서는 우선 원고들의 개인정보가 피고들의 지배영역을 떠나 외부로 누출됨으로써 원고들에게 정신적 손해가 발생하였다는 사정이 구체적으로 입증되어야 한다고 할 것인 바, 개인정보 누출로 인하여 당해 개인정보를 모르는 제3자가 현실적으로 그 내용을 알게 되었다거나 적어도 이와 동일시할 수 있는 정도의 구체적이고 현실적인 고도의 위험이 발생할 것까지 요구되는 것은 아니라고 할지라도, 최소한 개인정보가 외부로 누출됨으로써 원고들의 개인정보가 불특정 다수에게 공개되어 이를 열람할 수 있는 상태 또는 원고들의 의사에 반해 원고들의 개인정보가 수집·이용될 수 있는 상태에 이르러 원고들의 개인정보 자기결정권이 침해되었다거나 침해될 상당한 위험이 발생했다는 점이 인정되어야 한다고 할 것이다.

그러나 갑 등으로부터 저장매체 등은 모두 조기에 압수되거나 폐기된 점, 기자들이 소지하던 저장매체도 모두 회수된 점, 갑 등이 빼낸 고객정보가 다른 경로로 누출된 흔적이 발견되지 아니한 점 등에 비추어 보면, 원고들의 개인정보가 누출됨으로써 불법행위자인 갑 등 이외의 불특정 다수에게 공개되어 이를 열람할 수 있는 상태 또는 원고들의 의사에 반하여 원고들의 개인정보가 수집·이용될 수 있는 상태에 이르러 원고들의 개인정보자기결정권이 침해되었거나 침해될 상당한 위험성이 발생하여 원고들에게 정신적 손해가 발생하였다는 점을 인정하기 어렵다.

나아가 갑 등의 행위로 인해 원고들이 자신들의 개인정보가 추가로 복제되어 유출됨으로써 제3자에 공개되거나 범죄 등에 도용 또는 악용될지도 모른다는 막연한 불안감이나 불쾌감을 가지게 될 수도 있었음은 능히 추단되나, 이러한 사정만으로는 원고들이 수인한도를 초과하여 피고들이 금전으로 위자할 만한 정신적 손해를 입었다고 할 수는 없다고 판시했다.

또한 항소심 법원은, 이 사건 개인정보는 원고들의 성명, 주민등록번호, 전화번호, 이메일 주소 등 개인을 알아볼 수 있는 정보이고, ‘사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보’와 같이 정보주체에 관한 아주 민감한 정보는 아닐 뿐만 아니라, ‘은행계좌번호, 은행계좌의 비밀번호 등 금융에 관한 정보’와 같이 공개될 경우 곧바로 정보주체의 경제적 이익을 침해할 우려가 높은 정보에도 해당하지 않는 것인 점, 이 사건 개인정보는 범행공모자와 언론기관 관계자에게 유출된 직후 곧바로 전체가 회수되어 폐기된 점, 실제로 이 사건 개인정보가 부정하게 사용되었다거나 이 사건 개인정보의 유출로 말미암아 이를 취득한 제3자로부터 많은 양의 스팸메시지나 스팸메일을 받게 되었다는 등의 원고들이 개별적, 구체적인 피해를 입은 사실을 인정할 증거가 없거나 부족한 상태에서, 원고들의 이 사건 개인정보가 한때나마 유출된 적이 있었다는 사실만으로 원고들에게 정신적인 피해가 있었을 것이라고 단정하기는 어렵고, 달리 원고들이 개별적, 구체적으로 정신적 피해를 입었다고 인정할 만한 증거도 없으므로, 원고들에게 정신적 손해가 발생하였다고 보기는 어렵다고 판시했다.

이에 대하여 대법원은 개인정보를 처리하는 자가 수집한 개인정보를 피용자가 정보주체의 의사에 반하여 유출한 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생했는지는 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생했는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취해졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단해야 한다고 설명했다.

개인정보가 유출된 후 저장매체에 저장된 상태로 공범들과 언론관계자 등에게 유출되었지만 언론보도 직후 개인정보가 저장된 저장매체 등을 소지하고 있던 사건 관련자들로부터 저장매체와 편집 작업 등에 사용된 컴퓨터 등이 모두 압수, 임의제출되거나 폐기된 점, 범행을 공모한 사람 등이 개인정보 판매를 위한 사전작업을 하는 과정에서 위와 같이 한정된 범위의 사람들에게 개인정보가 전달 또는 복제된 상태에서 범행이 발각되어 개인정보가 수록된 저장매체들이 모두 회수되거나 폐기되었고 그 밖에 개인정보가 유출된 흔적도 보이지 아니하여 제3자가 개인정보를 열람하거나 이용할 수는 없었다고 보이는 점, 개인정보를 유출한 범인들이나 언론관계자들이 개인정보 중 일부를 열람한 적은 있으나 개인정보의 종류 및 규모에 비추어 위와 같은 열람만으로 특정 개인정보를 식별하거나 알아내는 것은 매우 어려울 것으로 보이는 점, 개인정보 유출로 인하여 신원확인, 명의도용이나 추가적인 개인정보 유출 등 후속 피해가 발생했음을 추지할 만한 상황이 발견되지 아니하는 점 등 제반 사정에 비추어 볼 때, 개인정보 유출로 인하여 위자료로 배상할 만한 정신적 손해가 발생했다고 보기는 어렵다고 판시했다.

판례는 이 사건에서 개인정보 유출로 인하여 위자료로 배상할 만한 정신적 손해가 발생하기 위해서는, ‘최소한 개인정보가 외부로 누출됨으로써 원고들의 개인정보가 불특정 다수에게 공개되어 이를 열람할 수 있는 상태 또는 원고들의 의사에 반하여 원고들의 개인정보가 수집·이용될 수 있는 상태’가 되어야 한다고 판단했다.

다시 말하면 유출이 되었다고 하더라도 불특정 다수에게 공개될 가능성이 없는 상태라면, 기업은 손해배상책임을 부담하지 않는다고 판단한 것이다. 다만 제1심에서는 ‘원고들의 개인정보가 불특정 다수에게 공개되어 이를 열람할 수 있는 상태’를 요구한 것과 달리 대법원에서는 ‘제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지’를 판단기준으로 세웠다.

* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2013. 8. 16.) 기고.