[일요서울 | 신현호 기자] 대형 인터넷쇼핑몰 인터파크가 개인정보 유출로 국민적인 공분을 사고 있다. 이 회사는 지난 5월 해외에 서버를 둔 APT 조직으로부터 해킹을 당해 회원들의 정보를 빼앗긴 것으로 확인됐다. 유출된 고객정보는 이름과 주소, 전화번호 등 1000만 건이 넘는다. 인터파크의 총 회원수가 약 2100만 명임을 감안하면 절반에 가까운 회원의 정보가 털린 셈이다. 잊을 만하면 터지는 개인정보 유출사건에 강력한 처벌이 요구되는 한편, 피해자들을 위한 구제 방안에 관심이 쏠린다. 그간 발생했던 대규모 개인정보 유출사고의 피해배상은 어떻게 이뤄졌을까.
1000만 명 이상의 개인정보유출 사례를 살펴보면 ▲2008년 옥션 1000만 명 ▲2011년 넥슨 1320만 명·네이트 3500만 명 ▲2014년 KT 1170만 명·롯데카드 2600만 명·NH농협카드 2500만 명·KB국민카드 5300만 명 등이다.
가장 많은 개인정보가 유출된 업체는 KB국민카드로, 대한민국의 인구수(5162만 명)를 넘어선다. 이번 인터파크와 유사한 사례로는 KT와 네이트, 넥슨 등이 꼽힌다. 롯데카드 등 카드회사의 개인정보 유출은 신용정보회사 KCB의 직원이 계획적으로 유출한 정보를 팔아넘긴 사례다.
KT의 경우 홈페이지를 해킹당해 1170만 명의 고객정보가 털렸고 네이트와 넥슨, 옥션 등도 APT(Advanced Persist ent Threat) 공격을 당해 개인정보가 유출됐다. APT 해킹은 이메일이나 웹문서를 통해 악성코드를 설치해 놓고 오랜 기간 잠복했다가 공격을 하는 방식을 말한다.
과거 판례 살펴보니
과거 1000만 건 이상의 정보유출 사례를 살펴보면 먼저 옥션의 경우 2008년 2월 해커가 중국 인터넷망을 경유, 옥션 보안 시스템에 침입해 회원들의 주민번호와 이름 등 개인정보 1081만 건을 빼돌렸다. APT 공격으로 정보유출이 시작됐다는 점과 대형 온라인쇼핑몰이 타깃이 됐다는 점 등이 이번 인터파크 사건과 유사하다.
옥션 사고 피해자 2만2650명은 이에 대해 손해배상 소송을 냈다. 하지만 옥션은 7년간의 법적 공방을 벌인 끝에 ‘2008년 사건 발생 당시 옥션이 기술적으로 할 수 있는 개인정보 보호 조치의 의무를 다했다’는 대법원의 판결을 얻어냈다. 피해자들이 개인정보 유출로 인한 피해 등을 자세히 입증하지 못한 점도 참작됐다.
이후 2011년 11월 넥슨은 당시 이 회사의 대표게임 ‘메이플스토리’의 데이터 백업 서버가 해킹당해 1320만 명의 개인정보가 유출됐다. 이 사건은 지난 2011년 9월 30일 개인정보보호법 시행 이후 처음 발생한 대형 사고여서 더욱 주목을 받았다.
경찰은 넥슨이 개인정보 유출을 막기 위해 취해야 할 관리조치를 소홀히 했다며 넥슨 대표 등 관련자 3인을 기소 의견으로 검찰에 송치했으나, 증거불충분 등으로 무혐의 처분을 받았다.
같은 해 7월에는 3500만 명의 고객정보가 유출된 네이트 사건이 발생했다. 피해자 2882명이 손해배상 청구소송을 했을 당시 1심 판결에서는 피해자들에게 20만 원씩 지급하라는 판결을 내렸지만, 항소심 판결에서 손해배상 책임이 없다는 판결로 바뀌었다.
2014년 1월 세상을 떠들썩하게 했던 카드3사(롯데·KB국민·NH카드)의 유출사고는 KB카드 5300만 건, 롯데카드 2600만 건, NH카드 2500만 건 등 총 1억 건이 넘는 사상 최악의 사건으로 기록됐다. 카드3사 유출은 용역업체 직원이 2012년 5월부터 2013년 12년까지 USB를 이용해 카드사 고객 정보를 빼돌린 사건이다.
지난 1월 서울중앙지법은 해당 사고로 인한 피해자 5000여 명이 낸 손해배상 청구소송에서 피해자에게 각각 10만 원씩 지급하라는 판결을 내렸다. 또한 서울중앙지법은 해당 카드3사에 개인정보보호법 위반 혐의를 인정하고 KB국민카드와 NH카드에 1500만 원, 롯데카드에 1000만 원의 벌금을 부과했다. 3사는 이 같은 1심결과에 불복해 현재 항소장을 내민 상태다.
특히 원희룡 제주도지사가 피해자 1만여 명을 대표해 KCB 등을 상대로 낸 손해배상 소송에서도 피해자 1인당 10만 원의 배상판결을 받아내 화제를 모았다. 해당 소송은 원희룡 지사가 후배 변호사 10명과 함께 피해자 5만명의 무료 변론을 맡은 3개 사건 중 하나다. 원 지사는 본인도 농협카드·KB카드의 정보 유출 피해자로 드러나 선정당사자로 소송에 참여해 승소를 이끌어 냈다.
이어 같은 해 3월에는 KT에서 1200만여 건의 개인정보가 유출됐다. 텔레마케팅 업체 대표와 해커가 공모해 발생한 사건으로, KT 홈페이지 이용대금 조회란에 고유 숫자 9개를 무작위로 자동 입력시키는 프로그램으로 개인정보를 빼냈다. 지난 2012년 7월에도 800만 건의 고객 개인정보가 유출된 바 있어 이를 합하면 총 2000만 건의 개인정보가 유출된 셈이다.
서울중앙지법은 해당 사고 피해자 2만8715명이 낸 손해배상 청구소송에서 피해자들에게 10만 원씩 배상하라는 판결을 내렸다. 또한 방송통신위원회는 KT에 벌금 8500만 원을 부과했다.
인터파크 소송은
어떻게 진행되나
그렇다면 인터파크의 경우 피해자들이 소송을 제기한다면 어떻게 진행될까. 업계에 따르면 피해 회원 가운데 일부 회원들은 인터파크를 상대로 한 집단소송 과정에 돌입했다. 이들은 인터넷 카페 ‘인터파크 개인정보유출 집단소송 공식카페’ 등을 통해 서명을 진행하고 피해 사례를 수집 중이다.
이번 인터파크 사건과 관련해 업계에서는 KT 고객센터 해킹사건과 유사하게 진행될 것으로 전망하고 있다. 인터파크 측에서 해킹 사실을 파악한 뒤에도 15일가량 이같은 사실을 밝히지 않고 은폐시도 등을 꾀한 점은 불리하게 작용할 가능성이 높다. 직원들에 대한 보안 교육 실시 미비 등이 발견될 경우는 배상 책임이 더욱 커질 것으로 분석된다.
IT업계의 한 관계자는 “해커가 뚫으려고 한다면 어떤 사이트라도 뚫릴 수 있는 가능성은 높다”면서도 “인터파크의 경우 직원에 대한 보안 교육 미비 등이 원인이 돼 개인정보를 유출시킨 것으로 보여 배상을 해야 할 가능성이 높다”고 설명했다.
문제는 배상 금액이 터무니없이 낮다는 점이다. 수년간 법정 다툼을 벌이고도 받을 수 있는 돈은 고작 10만 원이 전부다. 이 때문에 피해자들의 관심도 적다는 지적이 나온다.
이번 인터파크 사건의 피해자인 박모씨는 “주민번호나 이름 등은 평생 안고 살아가는 개인정보”라면서 “지금 당장 피해가 없더라도 나중에라도 금융사기에 이용될 수 있지 않겠느냐. 이런 두려움을 안고 살아가는데 10만 원의 위자료는 너무 적다고 생각한다”고 지적했다.
신현호 기자 shh@ilyoseoul.co.kr
