인터파크가 개인정보 유출 사고로 피해를 입원 회원 1인당 10만원씩 배상하라
요지
인터파크가 해커에 의한 개인정보 유출 사고와 관련해 피해를 입은 회원들에게 1인당 10만원씩 배상해야 한다.
사실관계
인터넷 쇼핑몰인 인터파크에선 지난 2016년 5월 인적사항을 알 수 없는 해커에 의해 내부 전산망이 해킹 당하는 사고가 발생했다. 이 사고로 인터파크가 관리하고 있던 회원들의 비밀번호와 생년월일, 휴대전화 번호 등 개인정보가 유출됐다.
방송통신위원회는 해커의 공격을 지능형 지속가능 위협(APT)으로 보고, 민관합동조사단을 구성해 인터파크의 개인정보처리시스템 등에 남아있는 접속기록 등을 토대로 개인정보 처리 및 운영 실태를 조사했다. 지능형 지속가능 위협은 해커가 다양한 보안 위협을 만들어 특정 기업이나 조직의 네트워크에 지속적으로 가하는 공격을 말한다.
그 결과 해커는 인터파크 직원의 네이버 계정을 불법적으로 도용해 접속한 뒤 악성코드를 심은 이메일을 보내 컴퓨터를 감염시키고, 회원들의 개인정보가 저장돼 있던 DB서버에 접속해 이를 모두 빼간 것으로 조사됐다.
이에 인터파크 회원 A씨 등은 1인당 30만원을 배상하라며 소송을 제기했다.
판결내용
서울중앙지법 민사30부(재판장 한성수 부장판사)는 정보통신서비스 제공자인 인터파크가 회원들의 개인정보를 보호하기 위해 옛 정보통신망법 등 관련 법령상 어떠한 조치를 해야 하는지 확인하고 이를 이행할 의무가 있음에도 이를 게을리 해 최대접속시간 제한 조치 및 비밀번호의 암호화를 위한 조치를 취하지 않았다.
개인정보 유출을 안 때로부터 24시간 이내에 회원들에게 이를 알리지 않았으므로 인터파크에게 옛 정보통신망법 제28조 등을 위반한 과실이 인정된다. 옛 정보통신망법 제28조는 '정보통신서비스 제공자 등이 개인정보를 처리할 때에는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위해 대통령령으로 정하는 기준에 따라 기술적·관리적 조치를 해야 한다'고 규정하고 있다.
유출된 회원들의 개인정보는 모두 개인을 식별할 수 있을 뿐만 아니라 사생활과 밀접한 관련이 있어 이를 도용한 2차 피해 발생과 확대의 가능성을 배제하기 어렵다. 인터파크는 같은 해 7월 회원들의 개인정보가 유출됐음을 인지했음에도 그로부터 14일 뒤에야 비로소 이를 통지해 회원들이 개인정보 유출에 신속히 대응할 수 있는 기회를 상실하게 만들었다.
다만 회원들의 개인정보가 불특정 다수에게 공개됐거나 명의가 도용되는 등 추가적 법익침해가 발생했다고 볼 자료는 제출되지 않았다면서 기업이 소비자에게 유익한 서비스를 제공함에 있어 부득이 고객의 일정한 개인정보를 수집·보관하는 것이 필요한 현실적인 제약을 고려할 때 손해배상액을 1인당 각 10만원으로 정함이 상당하다고 A씨 등 2400여명이 인터파크를 상대로 낸 손해배상청구소송(서울중앙지방법원 2016가합563586)에서 원고일부승소 판결했다.
- 디지털손해사정법인
- 전화상담 : 02-458-8216
- 손해사정사 박성정
- 문자상담
'보상지식 > 판례정보' 카테고리의 다른 글
| 구체적·합리적 기준 제시 없이 ‘면책기준 해당’ 이유만으로, 보증채무 면책주장 안된다 (0) | 2022.12.13 |
|---|---|
| 음주측정 거부 혐의에 '호흡량 부족' 주장한 남성에 무죄선고 (0) | 2022.12.13 |
| 삼성화재 사고출동 에이전트는 근로자로 볼 수 없다 (0) | 2022.12.12 |
| 노동능력상실률 산정기준으로서 종래 흔히 사용되어 왔던 맥브라이드 평가표를 대신하여 ‘대한의학회 장애평가기준’ 을 채택하여 손해배상액을 산정 (0) | 2022.12.12 |
| 후진주차 차량에 받혀 부상을 입은 피해자도 15% 책임 있다 (0) | 2022.12.08 |
