2014년 KB국민·농협·롯데카드 고객 개인 정보 1억건이 유출된 사건과 관련해 법원이 "카드사는 피해자에게 10만원씩 배상하라"고 판결했다. 카드 3사 정보 유출 사고에 대한 법원의 첫 판단이다.
서울중앙지법 민사22부(재판장 박형준)는 개인 정보 유출 피해자 이모씨 등 5202명이 KB국민카드와 신용 정보 업체 KCB 등을 상대로 낸 손해배상 소송에서 이같이 판결했다고 22일 밝혔다. 재판부는 "카드사는 업무용 컴퓨터에 USB(이동식 저장 장치) 통제 보안 프로그램을 설치하지 않는 등 정보 보호 조치를 하지 않았고, KCB는 직원에 대한 관리 감독 의무를 소홀히 했다"며 배상 책임을 인정했다.
이날 배상 책임이 인정된 금액은 5억여원이다. 하지만 서울중앙지법에만 같은 사건이 93건 진행 중이고, 원고(피해자)가 22만2561명에 달해 이날 판결이 대법원에서 그대로 확정되면 카드사 등이 물어야 할 금액은 220억원을 넘어갈 수도 있다.
검찰 수사 결과 당시 카드 3사에서는 1억건 넘는 개인 정보가 유출됐는데, 카드사의 사고 분석 시스템 개발 책임자였던 KCB 총괄매니저 박모씨가 카드사 업무용 컴퓨터에서 고객 정보를 빼내 마케팅 업체에 넘긴 것으로 조사됐다. 박씨는 징역 3년을 선고받았다.
법원은 그동안 개인 정보 유출에 대한 배상액으로 1인당 10만~20만원 정도를 인정해 왔다. 서울중앙지법은 지난 2014년 'KT 정보 유출' 피해자 2만8000여명에게 1인당 10만원씩 배상하라는 판결을 내렸다. 2013년에는 SK커뮤니케이션즈에 1인당 20만원을 배상하라는 판결이 나왔다. 반면 2008년 옥션 개인 정보 유출 사건은 외부 해킹에 의한 것이라는 이유로 손해 배상 책임을 인정하지 않았다. 법원 관계자는 "개인 정보 유출은 구체적인 손해 입증이 어려워 위자료만 청구하는 경우가 많아 배상액이 많지 않다"고 말했다.
최근 정부의 수수료 인하 정책 등으로 업황이 어려운 카드사에서는 우려의 목소리가 나오고 있다. 한 카드사 부장은 "협력업체 직원 개인의 범죄 행위였고, 재산상 피해가 발생하지 않았는데도 카드사가 책임을 지라고 하는 것은 이해하기 어렵다"고 했다.