예전 포스팅에서 대형병원 진료기록 유출피해 사례에 대해 다룬 적이 있죠. 
병원 측의 안일한 관리로 인해 여성 질환 진료기록이 유출되었고, 한 유출피해 여성이 우연히 발견하지 못했다면 많은 여성들이 심리적 피해를 당할 수 있었던 사건이었습니다.


이와 같은 개인정보 유출 피해사례는 끊이지 않고 발생하고 있는데요. 
며칠 전에는 아시아나항공의 고객 개인정보 4만 5천여건이 유출되었고, 오늘은 인터파크 측에서 해킹으로 인해 고객 천만 명의 개인정보가 유출되었음을 공지했습니다.


특히 아시아나항공 개인정보 유출은 해킹이 아닌 홈페이지 보안 결함 때문인 것으로 추정되고 있는데요. 
고객정보를 얼마나 허술하게 관리하고 있는지 여실히 보여주는 사건입니다. 


유출된 개인정보는 아시아나항공의 경우 주민등록증, 가족관계증명서, 여권, 전자항공권 사본 등이며, 
인터파크의 경우 이름, 생년월일, 아이디, 이메일, 주소, 전화번호 등으로 알려졌는데요.


지키지도 못할 개인정보를 업체들이 과다하게 요구한다는 지적이 나오고 있으며, 계속되는 개인정보 유출에 둔감해진 네티즌들은 
“더 이상 놀랍지도 않다.”, “이미 다 털렸는데 더 털릴 게 남았냐?” 며 대수롭지 않다는 반응마저 보이고 있습니다.

개인정보 유출은 단순히 유출에 그치는 것이 아니라 2차 피해로 이어질 수 있다는 것이 더 큰 문제입니다


각종 스팸·광고전화에 노출되는 것은 기본이며, 보이스피싱 범죄의 표적이 될 수도 있습니다. 
범인이 상세한 개인정보를 알고 있다면 그만큼 피해자들이 속을 확률도 높아지겠죠. 


게다가 보이스피싱 범죄수법도 날로 진화하고 있어 많은 피해가 우려되고 있는데요. 
최근에는 휴가철을 맞아 출입국관리사무소 직원을 사칭한 보이스피싱 피해사례가 있었습니다. 
이는 그동안 검찰청·우체국 등을 사칭해온 것보다 더 진화한 범죄형태라고 볼 수 있습니다.


얼마 전, 전직 금융기관 직원이 자신이 근무하던 내부 전산망의 고객정보를 이용하여 여성들에게 무차별적으로 전화를 건 뒤 
음란한 영상통화를 녹화한 혐의로 재판을 받은 사건이 있었습니다. 
피의자가 새벽시간에 전화를 걸어 남자친구나 남편인 것처럼 행세했고, 피해자들은 잠결에 착각하여 피해를 입은 것인데요. 


위 사례들을 종합한다면, 개인정보 유출이 보이스피싱 뿐만 아니라 어떤 범죄형태로 나타날지 모른다는 결론에 이르게 됩니다. 
결국 개인정보의 유출을 막는 것이 각종 범죄를 예방하는 최우선 과제인 것이죠.


그러나 처벌이 미미하고 손해배상에 대한 구체적인 기준이 없어 개인정보 유출문제의 심각성을 더 키워왔다는 의견이 제기되어 왔습니다.


이를 보완하고자 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에 개인정보 유출 손해배상에 관한 조항이 신설되거나 개정되었는데요.
신설·개정 조항에 따르면, 정보통신서비스 제공자의 정보통신망법 위반 행위로 인해 손해가 발생한 경우에는 손해배상을 청구할 수 있으며, 
정보통신서비스 제공자의 중대과실로 개인정보가 침해되어 손해가 발생한 경우에는 손해액의 3배 범위 내에서 손해배상액을 정할 수 있게 되었습니다. 


2014년 카드3사 개인정보 유출 피해자 5,000명이 낸 손해배상 소송에 대해 법원이 1인당 10만원씩 지급하라는 판결을 내린 바 있습니다. 


피해자들의 적극적인 대처로 이루어낸 결과로서, 관련 법률 개정과 함께 앞으로도 손해배상책임을 인정하는 판결이 더욱 늘어날 것으로 보이며, 
비단 재산상 손해 뿐 아니라 개인정보 유출로 인한 정신적 피해 등 위자료에 대한 손해배상 금액도 늘어날 것으로 전망됩니다.


이처럼 개인정보가 유출되었다거나 유출로 인한 2차 피해를 입는다면, 
정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반에 대해 형사고소를 할 수 있으며, 더불어 손해배상을 청구할 수 있습니다.

피해자 집단소송 등 적극적 대처를 통해 유출피해에 대한 처벌과 정당한 피해배상이 이루어지는 것이 
앞으로의 개인정보 유출사태를 막을 수 있는 하나의 방법이 될 것입니다. 

※ 관련 판례

서울중앙지방법원 2016. 1. 22. 선고 2014가합513860, 2014가합511970, 2015가합532332, 2014가합563384

카드회사는 사내 시스템 개발 용역을 KCB가 수행하도록 위탁하는 과정에서관리·감독을 소홀히 하여 고객 개인정보가 유출되는 데에 원인을 제공하였으므로, 
개인정보보호법상 의무를 위반하였으며, 유출에 대한 배상책임이 있다. 
배상액의 범위에 대해서는 유출된 카드사 고객 개인정보는 유포 과정에서 이미 제3자에게 열람되었거나 앞으로 열람될 가능성이 매우 크므로 정신적 손해의 발생이 인정된다.



대구지방법원 2014. 2. 13. 선고 2012나9865 판결

인터넷상에서 포털서비스사업을 하는 A 회사가 제공하는 온라인 서비스에 가입한 회원들의 개인정보가 해킹사고로 유출되었는데, 서비스 이용자인 B가 A 회사를 상대로 손해배상을 구한 사건

서비스 이용자는 정보통신서비스 제공자 등이 구 정보통신망법상의 규정을 위반한 행위로 손해를 입으면 정보통신서비스 제공자 등에게 손해배상을 청구할 수 있고, 
이 경우 해당 정보통신서비스 제공자 등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없으며(구 정보통신망법 제32조), 
나아가 서비스 이용자는 정보통신서비스 제공자가 개인정보보호에 실패하여 개인정보유출사고가 발생했을 경우 계약상 채무불이행에 따른 손해배상을 청구할 수 있고, 
이 경우 이용자로서는 정보통신서비스 제공자가 기술적·관리적 보호조치의무를 위반한 사실을 주장·증명하여야 하며, 
정보통신서비스 제공자로서는 통상의 채무불이행에 있어서와 마찬가지로 채무불이행에 관하여 자기에게 과실이 없음을 주장·증명하지 못하는 한 책임을 면할 수 없다.