본문 바로가기

초유의 개인정보 유출사건, 6년만의 결론은 "카드사 책임"

중앙일보 2020.09.14 06:00
KB국민은행 노조원들이 2014년 서울 명동 KB금융지주 본사에서 KB국민카드의 개인정보 유출 책임자 처벌을 촉구하는 구호를 외치고 있다. [뉴스1]

KB국민은행 노조원들이 2014년 서울 명동 KB금융지주 본사에서 KB국민카드의 개인정보 유출 책임자 처벌을 촉구하는 구호를 외치고 있다. [뉴스1]

지난 2014년 사상 초유의 개인정보 유출 사건이 발생했다. NH농협카드, KB국민카드, 롯데카드 등 카드 3사에서 1억 건 넘는 개인정보가 유출됐다. 범인은 카드 부정 사용 방지시스템(FDS) 업그레이드를 담당하던 외주업체인 코리아크레딧뷰로(KCB) 직원 박모씨였다. 그는 세 회사에 파견 근무를 나갔을 때 개인정보 보호가 허술한 틈을 타 자신의 이동저장장치(USB)에 카드사 고객 정보를 무작위로 내려받았다. 2012년 2월 농협은행 2194만명의 개인정보를 탈취한 그는 그해 10월 2235만명의 개인정보를 더 가져갔다. 다음 해 2월과 6월에는 국민카드 고객 각 4321만명의 개인정보를 빼돌렸다. 2013년 12월 롯데카드에서 가져간 개인정보는 1759만명의 것이었다. 그 내용도 이름과 주민등록번호부터 휴대전화번호, 카드번호, 유효기간, 계좌번호, 1년 내 카드 결제금액 등 민감한 것들이었다. 박씨는 이 중 일부는 돈을 받고 팔아넘겨 2014년 징역 3년형을 선고받았다.
 
2014년 서울 중구 소공동 롯데백화점 내 롯데카드센터를 찾은 고객들이 신용카드 해지 상담을 받고 있다.1억 건 이상의 개인정보 유출 사고를 일으킨 롯데·KB국민·NH농협 카드 3사는 금융당국의 징계에 따라 3개월간 영업정지 조치를 받았다. [뉴스1]

2014년 서울 중구 소공동 롯데백화점 내 롯데카드센터를 찾은 고객들이 신용카드 해지 상담을 받고 있다.1억 건 이상의 개인정보 유출 사고를 일으킨 롯데·KB국민·NH농협 카드 3사는 금융당국의 징계에 따라 3개월간 영업정지 조치를 받았다. [뉴스1]

카드 3사는 2015년 4월 재판에 넘겨졌다. 개인정보 보호와 관련한 내부 수칙을 제대로 지키지 않아 박씨가 고객정보를 마음대로 빼가도록 한 혐의였다.  
 
카드사들은 억울함을 호소했다. 박씨는 회사의 FDS 개발업무를 수행하던 사람이기에 그에 대한 정보 접근 권한을 제한하지 않았다고 해서 개인정보 안정성 확보 조치 의무를 이행하지 않았다고 보기는 어렵다고 주장했다. 또 범죄가 성립하기 위해서는 개인정보 유출이라는 결과에 대한 고의가 있어야 하는데 회사 직원들은 그러한 의도가 없었으므로 죄를 물을 수 없다고 했다. 실수했을 뿐 범죄에 가담한 건 아니라는 이야기다.  
 
1심 재판부는 카드사의 ‘미필적 고의’를 인정했다. 자신의 행위로 인해 범죄가 발생할 수 있음을 알면서도 이를 막기 위한 조처를 하지 않았다는 것이다.  
 
당시 농협은행 개인정보보호 책임자는 KCB와의 용역계약 체결 사실 자체도 알지 못한 것으로 드러났다. 개인정보보호법이 시행되자 책임자로 선임되기는 했지만 IT 전문가가 아닌 탓에 업무를 제대로 파악하지 못했기 때문이다. 국민카드의 상황도 크게 다르지 않았다. 당시 보안부서 팀장은 “KCB 직원에게 암호화하지 않은 고객 개인정보를 제공하는 것에 문제가 있다는 생각을 하지는 못했다”고 진술했다. 롯데카드 직원 역시 “박씨를 너무 믿은 탓에 관리가 부족했다”고 인정했다.  
 
1심 재판부는 “금융기관에서 관리하는 고객 개인정보가 불법적으로 유출되는 경우 피해자들은 보이스피싱, 대출 사기 등 금융범죄의 표적이 될 위험에 노출된다”며 “피해 회복이 사실상 불가능하다”고 밝혔다. 이어 “대한민국 경제활동 인구 대다수가 피해자라 해도 과언이 아닌 이 사건으로 인해 금융시스템 안전에 대한 사회적 신뢰가 현저히 훼손됐다”며 농협은행과 KB국민카드에는 벌금 1500만원을, 롯데카드에는 벌금 1000만원을 선고했다. 이는 법원이 내릴 수 있는 최고 형량이었다. 1심 재판부는 “법정형이 최대 벌금 2000만원으로 되어 있지만 개인정보보호법 위반은 1000만원이 최대이고, 박씨가 두 번의 개인정보를 가져간 점을 인정해도 최대 벌금 1500만원”이라고 설명했다.  
 
카드사들과 검찰 모두 항소했다. 하지만 2심 재판부 역시 1심과 똑같은 판결을 내렸다. 2심 재판부는 “카드사들이 USB 반입을 통제하지 않고 암호화 조치를 불이행한 사실이 모두 인정된다”고 판시했다. 다만 원심의 형이 법률상 내릴 수 있는 상한이므로 검찰이 항소 이유로 제시한 양형 부당에는 이유가 없다고 판단했다.  
 
대법원 2부(주심 박상옥 대법관) 역시 이 같은 선고에 문제가 없다고 판단했다고 14일 밝혔다. 6년이 지나 개인정보 유출에 대한 회사의 책임은 인정됐지만, 당시 정보 유출 피해를 보았던 카드사 고객들은 민사 소송에서 10만원의 보상금을 받는 것에서 그쳤다.
 
이가영 기자 lee.gayoung1@joongang.co.kr 
공유하기

중앙일보 뉴스레터를 신청하세요!
광고 닫기