KB국민카드. 정연호 기자 tpgod@seoul.co.kr
서울중앙지법 형사합의25부(부장 김동아)는 15일 개인정보보호법 위반 혐의로 불구속 기소된 농협과 국민카드에 각각 법정 최고형인 벌금 1500만원, 롯데카드에 벌금 1000만원을 선고했다.
재판부는 “개인정보 유출 범죄는 그 자체로도 피해자들에게 큰 정신적 고통을 줄 뿐 아니라 2차 피해가 일어날 우려도 있는 중대하고 심각한 범죄”라며 법이 정하는 선에서 가장 높은 벌금을 선택한 이유를 설명했다.
이들 회사는 2012∼2013년 신용카드 부정사용예방시스템(FDS) 개발 작업 과정에서 개인정보보호와 관련한 내부 수칙을 제대로 지키지 않아 FDS 용역업체 직원이 고객정보를 마음대로 빼가도록 한 혐의로 기소됐다.
유출된 정보는 이름과 주민·휴대전화·신용카드 번호, 카드 한도·이용액 등이다.
당시 개인정보를 빼낸 FDS 용역업체 코리아크레딧뷰로(KCB) 직원 박모(40)씨는 은행에서 아무런 관리·감독도 받지 않고 이동식저장장치(USB) 등을 이용해 수시로 개인정보를 빼낸 것으로 드러났다.
박씨는 이렇게 빼돌린 개인정보를 대출 알선업자에게 넘기고 그 대가로 수천만원을 챙긴 것으로 조사됐다. 박씨는 징역 3년의 실형이 확정돼 복역 중이다.
개인정보 유출로 인해 농협은행에선 2012년 6월 2197만명, 10월 2235만명, 12월 2259만명이 피해를 입었다. 국민카드는 이듬해 2월 4321만명, 6월 4321만명분이 유출됐다. 롯데카드의 경우 2013년 12월 1759만명의 정보가 새나갔다.
재판부는 이 가운데 농협은행의 2012년 12월 유출분(2259만명)은 박씨가 KCB에서 받은 자료였다고 보고 무죄로 판단했다.
검찰은 이들 회사에 정보통신망법 위반, 신용정보법 위반 혐의도 적용했지만 재판부는 박씨가 카드사들을 위해 업무를 수행하던 자에 해당하지 않는다고 보고 유죄로 인정하지 않았다.
재판부는 “박씨가 ‘회사의 업무에 관해’ 법을 어겼다고 인정돼야 회사를 (정보통신망법·신용정보법 위반으로) 처벌할 수 있다”며 “카드사들은 박씨의 범행을 알지 못했고 박씨도 카드사를 위해 범행을 저질렀다고 보기 어렵다”고 설명했다.
개인정보보호법에 따르면 개인정보처리자가 적절한 조치를 취하지 않아 정보가 분실·도난됐을 경우 최대 1000만원의 벌금형에 처할 수 있고, 같은 범행을 2건 저지른 경우 법정 최고형은 1500만원으로 높아진다.
이번 판결은 개인정보 유출 피해 고객들이 세 회사를 상대로 낸 민사소송에도 영향을 미칠 것으로 보인다. 피해자들은 1심에선 “카드사가 고객 1인당 10만원씩 손해를 배상하라”는 판결을 받아냈다.
온라인뉴스부 iseoul@seoul.co.kr
