법무법인 예율이 개인정보 해킹 사고가 발생한 인터파크 상대로 “회원가입을 위해 강제로 수집한 개인정보 보호 의무를 소홀히 했다”며 인터파크 회원들을 대리해 제기한 손해배상소송에서 최종 승소했다고 10일 밝혔다.

2016년 5월, 인터파크 사내 PC 전산망이 해킹돼 약 2540만 명의 고객 개인정보(이름, 성별, 생년월일, 휴대전화 번호, 주소 등)가 유출됐다. 당시 인터파크는 해커가 먼저 개인정보를 빌미로 거액을 요구하기 전까지 해킹 사실을 인지하지 못했던 것으로 알려졌다.

이에 법무법인 예율은 개인정보가 유출된 2403인(원고)을 대리해 정보통신서비스 제공자로서 해킹 사고를 방지하지 못한 인터파크(피고)에 정보통신망이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’) 위반에 따른 손해배상 책임을 물어 1인당 30만원 지급을 요구하는 내용의 민사소송을 제기했다.

원고 측은 “해커 조직이 침해 사실을 고지하며 상당한 금원을 요구하자 비로소 개인정보 유출을 인지했다는 점은 피고의 기술적 조치가 미흡했음을 방증한다”고 지적했다.

1심을 맡은 서울중앙지방법원 제30민사부(한성수 판사)는 “유출된 개인정보를 도용한 2차 피해 발생 가능성을 배제하기 어렵다. 또한 개인정보 유출 사실을 인지했음에도 그로부터 14일 후에야 이를 통지해 개인정보 유출에 신속히 대응할 기회를 상실케 했다”며 ‘원고 일부 승’ 판결을 내렸다.

하지만 인터파크는 개인정보 보호조치 위반 사실이 없고, 설령 위반했더라도 조치 위반과 원고들의 손해 발생 사이에는 ‘인과관계’가 없으므로 손해배상 책임이 인정될 수 없다고 주장하며 1심 판결에 불복, 2020년 5월 항소심을 제기했다.

법무법인 예율은 2심 재판에서 피고 측 주장에 대해 본인의 개인정보 보호조치 의무를 위반한 사실이 본인의 고의, 과실과 무관하다는 점을 명백히 입증하지 못하는 한 그 손해배상 책임을 면할 수 없다고 반박했다.

또 인터파크가 ‘최대접속시간 제한 조치 의무’와 ‘비밀번호 암호화 의무’를 위반했다는 사실을 증명하는 것과 함께 개인정보 유출을 알게 된 시점부터 24시간 안에 그 사실을 이용자에게 알리지 않았다는 점을 다시 한번 강조했다.

1년에 걸친 항소심(서울고등법원 제14-1민사부) 진행 끝에 1심과 같은 금액으로 조정결정이 이뤄졌다.

30만원의 위자료 청구가 10만원으로 줄어든 이유는 개인정보 유출에 따른 손해배상액이 1인당 10만원 선에서 인정되던 과거 판례를 따라 위자료가 조정됐기 때문이다. 이에 따라 인터파크가 피해 고객들에게 지급해야 할 손해배상액은 1인당 10만원으로 정해졌다. 총 보상 규모는 약 2억 4,000만원 수준이다.