KT, 2012년 870만명 유출사건 이어 민사소송 잇따라 승소
법원 "KT, 2014년 고객 980만명 정보유출 배상책임 없어"
2014년에 발생한 KT의 대규모 고객 개인정보 유출 사고에 대해 법원이 손해배상 책임은 인정되지 않는다는 판단을 내놓았다.

2012년 발생한 870만명의 개인정보 유출 사고에 대해 2심 법원이 손해배상 책임을 인정하지 않은 데 이어, 2년 뒤 벌어진 980만명의 개인정보 유출 사고에서도 KT는 민사상 책임을 면했다.

17일 법조계에 따르면 서울고법 민사6부(이정석 부장판사)는 고객 400여명이 KT를 상대로 낸 손해배상 청구 소송 항소심에서 1심과 마찬가지로 원고 패소로 판결했다.

이 소송은 2013년 8월부터 2014년 2월 사이 한 해커가 KT 가입자 981만여명에 대해 1천170만여건의 개인정보를 유출한 사건과 관련해 제기됐다.

당시 해커는 자동화 프로그램으로 '마이올레' 홈페이지에 접근해 고객 이름, 주민등록번호, 전화번호, 은행계좌번호, 카드결제번호 및 유효기간, 주소 등의 정보를 빼간 것으로 조사됐다.

이에 고객들은 KT가 고객정보를 보호하기 위한 노력을 다하지 못했다며 1인당 50만원을 배상하라는 소송을 냈다.

그러나 1·2심 법원 모두 "KT가 개인정보 유출사건이 났을 때 방송통신위원회가 고시한 '개인정보의 기술적·관리적 보호조치 기준'을 어겨 개인정보의 안정성 확보 의무를 위반했다고 보기 어렵다"고 판단했다.

1심 재판부는 KT가 퇴직자 계정의 접근권한을 말소하지 않아 해커들이 이를 이용했다는 주장은 "해당 홈페이지를 통해 개인정보가 유출됐다는 증거가 없다"며 받아들이지 않았다.

또 비정상적 접근에 대한 모니터링이 이뤄지지 않았다는 주장에 대해서도 "KT는 요구되는 침입 차단 시스템을 적절히 설치·운영했고, 현실적으로 해커가 활용한 접속 수법까지 탐지하기는 어려웠다"고 판단했다.

이런 판단은 2012년 발생한 고객 870만 명의 개인정보 유출 사고에 대한 법원 판단과 상당 부분 흡사하다.

당시 1심 법원은 KT의 관리 부실을 인정하며 1인당 10만원을 지급하라고 판결했지만, 올해 1월 2심에서는 이를 뒤집고 KT의 책임을 인정하지 않았다.

2심 법원 역시 KT가 퇴직자 계정을 말소하지 않았고 하루 최대 수십만 건의 비정상적 접근을 모니터링하지 않았다는 원고의 주장을 모두 기각했다.

이로부터 2년 뒤에 발생한 사건을 두고도 같은 문제가 있었다는 주장이 제기됐지만, 법원의 판단은 바뀌지 않았다.

이번 소송의 2심 재판부는 이에 더해 "방송통신위원회 고시에 정해져 있지 않더라도 KT가 합리적인 수준에서 해킹을 방지하기 위한 보호조치를 하지 않았다"는 원고들의 주장도 받아들이지 않았다.

재판부는 "KT 시스템에 대한 접속이 하루 수천만 건에 이르는 상황에서 모든 접속 시도를 일일이 분석하라고 요구하는 것은 현재 기술 수준에서 현실적이지 않고, 합리적 수준의 보호조치라고 할 수도 없다"고 판단했다.

아울러 고객서비스 계약번호를 암호화하는 방안에 대해서도 "다수의 정보를 암호화하는 것은 상당한 부하를 가져와 시스템 오류까지 초래할 수 있어 현실적으로 가능하지 않다"고 밝혔다.

/연합뉴스