우리나라에서 일어난 개인정보 관련 집단소송의 시초는, 지금은 잘 알려져 있지 않지만 2001년에 있었던 삼성생명의 개인정보 무단제공 사건으로서, 1인당 위자료 200만원이라는 꽤 큰 규모의 손해배상액을 법원이 인정한 사례였다.

그러다가 2005년 엔씨소프트 리니지 게임 개인정보유출 사건을 기점으로, 개인정보의 ‘대량유출’이라는 새로운 형태의 개인정보 사고유형이 우후죽순처럼 발생하기 시작하였고 이는 개인정보의 기술적·관리적 보호조치 기준의 내용을 매년 업그레이드 시키는 계기로 작용하였으며, 개인정보보호법이라는 기본법의 제정까지 이끌어 내었다.

또한 법원은 개인정보의 개념과 종류, 개인정보처리자의 주의의무의 내용과 정도, 손해발생의 판단기준 등에 대하여 법리를 하나 하나 발전시켜 나갔다.

특히 2008년도의 옥션 해킹사건, 2011년도의 네이트·싸이월드 해킹 사건은 해킹으로 인한 개인정보 유출사건 중에서도 매우 큰 중요도를 차지하고 있는 사건들이라 할 수 있는데, 기업들이 취해야 할 보안조치의 내용들이 실질화되고 구체화되는 과정에서 가장 큰 역할을 한 사건들이었다.

한편 개인정보 관련 사건 중에 유출사고 다음으로 중요한 카테고리는 바로 개인정보의 무단제공인데, 삼성생명 사건과 하나로텔레콤 사건이 바로 이에 해당한다. 이 사건들을 통해 제공과 위탁의 개념이 확실히 구분되었으며, 동의의 실질성에 대해서도 법원이 일응의 기준을 제시하여 주게 되었다.

아래에서는 이와 같이 우리나라 개인정보보호 역사에 크나큰 공헌을 한 역대 10대 개인정보 관련 집단소송 사례들을 정리함으로써, 개인정보보호의 역사가 어떻게 흘러왔는지를 살펴보고자 한다.

1. [2001. 2.~2001. 5.] 삼성생명 개인정보 무단제공 사건

삼성생명은 신용정보제공·이용자로서 삼성생명의 금융상품에 가입하고 있는 고객 중에서 다른 금융기관으로부터 높은 이율로 대출을 받은 고객들을 파악해 그들을 상대로 삼성생명이 판매하는 아파트담보대출상품을 효과적으로 홍보하고 그 대출상품으로의 전환을 유도하기로 하였다.

이에 삼성생명은 전국은행연합회로부터 제공받은 다른 금융기관의 대출정보 및 삼성생명이 자체적으로 수집·보관하고 있던 고객정보를 혼합하는 방법으로 원고들을 포함한 개인신용정보주체의 이름, 주민등록번호, 주소, 전화번호, 대출금융기관, 대출금액 등의 신용정보를 정리한 수십만건의 자료를 마련한 뒤, 이를 삼성생명의 보험영업본부 산하 충청지역단 등 수 개의 지역단에 송부하여 지역단 산하 각 지점 및 영업소를 통하여 그 소속 보험모집원들에게 이를 배포하였다. 뒤늦게 이 사실을 알게 된 원고들은 삼성생명을 상대로 300만원의 손해배상을 청구하였다.

이 사건에서의 주요 쟁점은, 삼성생명이 보험모집원들에게 위와 같이 신용정보를 제공한 행위가 신용정보의 이용 및 보호에 관한 법률을 위반하여, 원고들에게 정신적 손해배상을 하여야 하는지 여부였다.

이에 대하여 법원은, 삼성생명이 대출상품의 판매를 위한 수요자의 물색 및 그에 대한 효율적인 영업활동이라는 적극적인 영업목적을 위하여 원고들로부터 서면에 의한 동의를 받지 아니하고 임의로 원고들의 신용정보를 추출·가공하여 영업조직에 배포하는 방법으로 이용하였으므로, 이는 신용정보법에 반하는 위법행위라고 할 것이고, 이러한 위법행위에 관하여 삼성생명에게 고의 또는 과실이 없다는 점을 인정할 만한 아무런 증거가 없으므로, 피고는 원고들에게 손해를 배상할 의무가 있다고 판시하였다(위자료 200만원 인정).

다만 법원은 피고가 영업조직을 통하여 보험모집인들에게 원고들의 신용정보를 배포한 행위를 신용정보법에서 규정하고 있는 신용정보의 누설로 볼 수는 없다고 하였다.

이는 신용정보의 이용 및 보호에 관한 법률 제33조에 규정된 개인신용정보의 이용에는, 적극적으로 금융상품을 판매할 상대방을 선정하고 그와의 거래관계의 설정 여부를 결정하기 위하여 고객들의 신용정보를 이용하는 경우는 포함되지 않는다는 점, 상품판촉을 위하여 신용정보를 추출·가공하고 타인에게 배포하는 행위는 신용정보의 위법·부당한 이용이라는 점을 확인한 의미 있는 판결이었다. 다만 참고로 2012년 12월경 금융위원회는 위 판결 이후 개정된 보험업법 시행령에 근거하여 보험사의 고객 개인식별정보를 활용한 마케팅 행위는 징계할 수 없다는 판단을 한 바 있다.

2. [2005. 5.] 엔씨소프트 리니지 게임 개인정보유출 사건

온라인 게임 운영업체인 엔씨소프트사는 게임 서버의 업데이트 과정에서 이용자들의 개인정보인 아이디와 비밀번호가 암호화되지 않은 상태에서 로그파일에 저장되도록 함으로써, 컴퓨터에 관한 상당 수준의 전문지식이 있는 사람이라면 누구라도 그에 접근하여 이용자들의 아이디와 비밀번호를 알 수 있는 상황을 발생시켰는데, 이에 이용자들은 엔씨소프트사를 상대로 손해배상청구를 하기에 이르렀다.

이 사건에서의 주요 쟁점은, 아이디와 비밀번호 등의 식별번호가 개인정보인지 여부, 피고 회사에게 과실(주의의무 위반)이 있는지 여부, 이를 개인정보의 누출로 볼 수 있는지 여부 등이었다.

이에 대해 법원은, 첫째, 아이디와 비밀번호 등 식별부호는 실제공간과는 달리 익명성이 통용되어 행위자가 누구인지 명확하게 확인하기 어려운 가상공간에서 그 행위자의 인격을 표상한다고 할 것이므로, 개인에 관한 정보로서 당해 개인을 알아볼 수 있는 정보, 즉 ‘개인정보’에 해당한다고 하였고, 둘째, 엔씨소프트사는 원고들의 개인정보가 누출되지 않도록 암호화기술 등을 이용한 보안조치를 다하여야 할 주의의무를 부담함에도, 이 사건 게임서버의 정기점검·업데이트 과정에서 원고들의 개인정보인 아이디 및 비밀번호가 암호화되지 않은 상태로 원고들이 사용한 컴퓨터에 생성·저장된 로그파일에 기록되도록 함으로써 위와 같은 주의의무를 위반하였다고 보았다.

다만 셋째, ‘누출’이라 함은 개인정보가 정보통신서비스 제공자 및 이용자의 개인정보 관리·통제권의 범위를 벗어나 당해 개인정보를 모르는 제3자가 그 내용을 알 수 있는 상태를 이르는 것을 의미한다고 봄이 상당하고, 나아가 침해, 누설, 도용의 경우처럼 당해 개인정보를 모르는 제3자가 현실적으로 그 내용을 알게 되었다거나 적어도 이와 동일시 할 수 있는 정도의 구체적이고 현실적인 고도의 위험이 발생할 것 또는 당해 개인정보를 모르는 제3자에게 그 내용을 알릴 것 또는 이를 도용할 것까지 요구하는 것은 아니라고 볼 것인데, 접속 당시 피시방 컴퓨터를 이용한 원고들의 경우에는 피시방 컴퓨터에 위 원고들의 아이디 및 비밀번호가 담긴 로그파일이 저장됨으로써 컴퓨터에 관한 일정 수준의 지식이 있는 제3자라면 누구라도 로그파일에 접근하여 위 원고들의 아이디 및 비밀번호를 알 수 있는 상태에 이르렀으므로, 위 원고들의 개인정보는 누출되었다고 봄이 상당하지만, 접속 당시 집에 있는 개인용 컴퓨터를 이용한 원고들의 경우에는 위 원고들의 아이디 및 비밀번호가 담긴 로그파일은 위 원고들이 집에서 사용하는 개인용 컴퓨터에 저장되었을 뿐이므로, 위 원고들의 개인정보 관리·통제권의 범위를 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르렀다고 보기 어려우므로, 위 원고들의 개인정보는 누출되지 않았다고 봄이 상당하다고 판시하였다(피시방 컴퓨터를 이용한 원고들에 한하여 위자료 10만원 인정).

이 판결은 개인정보에 관한 안정성 확보에 필요한 기술적·관리적 조치에 대한 구체적 판단에 나아간 판결로서, 서버의 정기점검·업데이트 과정에서 발생할 수 있는 개인정보의 유출에 대하여 회사의 과실을 인정하였고, 나아가 유출로 인한 정신적 피해도 인정한 판결이다. 특히 유출의 개념을 구체화하여 설시한 판결로서, 어느 정도에 이르면 유출을 인정할 수 있을지에 대하여 의미있는 판시를 하고 있다.

3. [2006. 3.] 국민은행 개인정보유출 사건

국민은행은 국민은행과의 사이에 복권서비스 이용계약을 체결한 가입 회원 중 최근 3개월간 위 서비스를 이용하지 아니한 32,277명의 회원들에게 서비스에 관한 안내 이메일을 발송하는 과정에서, 피해자인 원고들을 포함한 위 32,277명의 회원들의 성명, 주민등록번호, 이메일 주소, 최근 접속일자가 수록된 텍스트 파일을 이메일 첨부파일란에 첨부하여 발송하고 말았다.

이후 국민은행은 위 이메일을 전송받은 3,723명의 회원들의 이메일 계정을 관리하는 포털사이트 운영자에게 위 이메일을 회수하여 줄 것을 요청하여, 이미 이메일을 열람한 641명의 회원들을 제외한 나머지 회원들에게 전송된 이메일을 회수하였다.

이 사건에서의 주요 쟁점은, 이메일 주소가 개인정보에 해당하는지 여부, 개인정보 보호에 관한 주의의무를 위반하였는지 여부, 피해자들에게 정신적 손해가 발생하였는지 여부 등이었다.

이에 대해 법원은, 첫째, 이메일 주소는 당해 정보만으로는 특정 개인을 알아볼 수 없을지라도 다른 정보와 용이하게 결합할 경우 당해 개인을 알아볼 수 있는 정보라 할 것이므로 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조 제1항 제6호에서 정한 ‘개인정보’에 해당한다고 판시하였다.

둘째, 국민은행은, 위 이메일에 대한 발송승인을 할 때 메일 서버 시스템의 속도가 과부하로 인하여 순간적으로 느려져 이 사건 파일이 첨부파일란에 업로드되었다는 표시가 나타나지 않았고, 그와 같은 문제로 인하여 위 발송담당자는 이 사건 파일이 이메일에 첨부되었다는 사실을 확인할 수 없는 상태에서 위 이메일을 발송하게 된 것이므로 이 사건 사고는 메일 서버 자체의 기술상의 하자에 기인한 것이어서 과실이 없다는 취지로 다투었으나, 법원은 이메일 발송담당자가 위 이메일을 발송할 때 피고의 메일 서버 시스템이 과부하로 인하여 그 속도가 순간적으로 느려졌다는 점을 인정할 증거가 부족하고, 설사 사실이 그와 같다 하더라도 이 사건 사고가 메일 서버 자체의 기술상의 하자에 기인한 것이라거나 피고에게 과실이 없다고 할 수 없다는 이유로 국민은행의 위 주장을 받아들이지 않았다.

셋째, 법원은 국민은행이 원고들의 성명, 주민등록번호, 이메일 주소 등을 누출함에 따라 원고들은 자신들의 위와 같은 개인정보를 제3자가 알게 되거나 이를 도용 또는 악용할지도 모를 위험에 노출되었다 할 것이므로, 원고들이 이 사건 사고로 받은 정신적 고통은 통상손해이고, 비록 국민은행이 신속하게 사후조치를 취하여 결과적으로 원고들의 성명, 주민등록번호 및 이메일 주소가 악용 또는 도용되었다는 사실이 없는 것으로 판명되고, 이메일 시스템상의 스팸메일 제한장치의 작동으로 스팸메일의 유해성으로부터 어느 정도 보호받을 수 있는 등의 사정들이 있다 하더라도, 이러한 사정들은 위자료 액수의 산정 과정에서 참작할 요소에 불과할 뿐, 이를 이유로 위와 같이 인격권을 침해받은 원고들에게 정신적 손해가 발생하지 않는다고 볼 수는 없다고 판시하였다(성명, 주민등록번호, 이메일주소가 누출된 원고들의 위자료는 20만원, 성명, 이메일주소가 누출된 원고들의 위자료는 10만원).

이 사건에서 이메일 주소가 개인정보에 해당하는 점, 국민은행의 법위반 사실 또는 과실이 인정된 점 외에 관심을 가져야 할 것은, 개인정보가 유출된 경우 겪을 피해자들의 정신적 고통은 통상손해인바, 개인정보가 유출되어 TM, 스팸, 보이스 피싱 등의 2차적 피해가 발생했는지 여부는 정신적 손해 인정에 고려되지 않는다는 점, 유출된 개인정보의 양에 따라 정신적 손해배상의 액수가 달라질 수 있다는 점이다.

4. [2006. 9.] 엘지전자 개인정보 유출 사건

원고들은 엘지전자의 온라인 입사지원사이트에 입사지원의 목적으로 개인정보를 제공하였는데, 불합격통지를 받은 갑이 URL정보를 분석하여 링크파일을 만들고 이를 통하여 일반인들도 쉽게 채용사이트에 접속하여 원고들의 사진, 기본인적사항(성명, 주민등록번호, 전화번호, 주소, 병역사항, 희망근무지ㆍ직무), 상세인적사항(학력사항, 대학교 및 대학원의 경우 학점 포함, 어학성적), 자기소개(자신이 가진 열정에 대하여, 본인이 이룬 가장 큰 성취에 대하여, 본인의 가장 큰 실패 경험에 대하여, 본인의 역량에 관하여, 본인의 성격에 관하여, 본인의 10년 후 계획에 대하여), 경력/인턴(경력회사, 경력상세기술서, 최종연봉·희망연봉, 인턴경험), 연구실적(석사학위 이상만 기재, 수행프로젝트, 세부전공, 입사후 희망 연구분야)을 열람하게 되는 사고가 발생하자, 원고들은 엘지전자를 상대로 손해배상을 청구하기에 이르렀다.

이 사건에서의 주요 쟁점은, 개인정보의 범위, 엘지전자가 불법행위책임자로서 원고들의 정신적 고통을 위자할 의무가 있는지 여부, 정신적 손해 발생 여부, 손해배상의 범위 등이었다.

이에 대하여 법원은, 첫째, 엘지전자는 정보를 취득한 자가 당해 개인을 알지 못하는 한 “화상” 정보인 사진만으로는 개인의 식별이 불가능하다는 취지의 주장을 하나, “개인을 식별할 수 있는 정보”는 당해 정보에 의하여 개인을 식별할 가능성만 있으면 되는 것이고 정보를 취득한 자가 당해 개인이 누구인지 구체적으로 특정할 것은 요하지 않으며, 이 점은 성명이나 주민등록번호의 경우도 마찬가지라고 판시하였다.

그리고 법원은, 둘째, 입사지원사이트의 URL이 Ctrl키와 N키를 함께 누르는 간단한 조작(새창열기 기능의 실행)으로 노출되고, 입사지원자의 지원서 내용을 열람할 수 있는 URL 중 특정 변수의 인자값을 변경하여 입력하면 위 사이트에 침입하여 타인의 입사지원서를 열람할 수 있는 보안취약점을 간과하였고 입사지원사이트의 웹서버에 웹방화벽을 적용하지 않고 있었던 점, 갑은 2006. 9. 21.부터 2006. 9. 26. 이 사건 게시물을 올리기 전까지 인터넷 웹브라우저 프로그램의 주소 입력창에 엘지전자의 입사지원사이트의 주소를 입력하고 Process ID에 임의의 값을 입력하는 방법으로 44회에 걸쳐 엘지전자의 입사지원사이트를 방문하여 다른 사람의 입사지원정보를 열람하였다.

그러나 엘지전자의 전산시스템은 이와 같은 침입에 대한 탐지장치가 구비되어 있지 않았던 점, 갑이 만든 간단한 자바스크립트 링크파일을 실행하기만 하면 로그인 등 아무런 인증절차 없이 엘지전자의 DB서버에 저장된 입사지원자 50명의 사진(화상정보)이 한꺼번에 보여지고 사진을 클릭하면 당해 개인의 학력, 자기소개서 등의 정보가 노출되었던 점, 갑은 같은 방법으로 다른 대기업의 입사지원사이트에도 침입을 시도하였으나, 엘지전자 등 4개 회사를 제외하고는 보안장치에 막혀 그 뜻을 이루지 못한 점 등에 비추어 보면, 엘지전자는 당시의 기술수준에 비추어 보더라도 엘지전자가 그 신입사원의 채용을 위한 목적으로 보관중인 개인정보의 분실·도난·누출 등 방지에 필요한 보안조치를 강구하여야 할 주의의무를 위반하였다고 할 것이다.

이로 말미암아 갑이 위 URL정보를 분석하여 위 링크파일을 만들고 이를 통하여 일반인들도 쉽게 이 사건 채용사이트에 접속하여 위 원고들의 입사지원정보를 열람하게 되는 결과가 발생하였으니, 엘지전자의 위와 같은 과실과 이 사건 사고 사이에는 상당인과관계가 있다고 판시하였다.

또한 셋째로, 위 원고들이 이 사건 사고로 인하여 자신들이 입사지원의 목적으로 제공한 개인정보가 불특정 다수인들에 의하여 열람당함으로써 정신적 고통을 받았을 것임은 경험칙상 쉽게 인정할 수 있으므로, 엘지전자는 불법행위책임으로서 위 원고들의 정신적 고통을 금전으로나마 위자할 의무가 있다고 하였다(위자료 30만원 인정).

* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2013. 7. 29.) 기고.