이미지 크게 보기

“2월 28일 OOO모텔에서 1박 불타는 XX 좋으셨나여.”

여행 플랫폼 ‘여기어때’ 이용자인 A씨는 문자 한 통을 받고 화들짝 놀랐다. 바로 그날 여자 친구와 함께 모텔에서 시간을 보냈기 때문이다. 처음에 문자를 받았을 때는 너무 무서워서 손이 덜덜 떨렸다.

혹시 몰래카메라가 설치된 것은 아닌지, 거의 일주일간 잠을 못 자고 불안감에 떨다가 고객센터에 전화해서 자초지종을 털어놨다. 그리고 ‘향후 또 이런 문제가 발생하면 그땐 어떻게 할거냐’고 물었는데, 돌아온 대답은 ‘고객님이 말씀하는 요지가 무엇이냐’라는 것이었다. A씨는 ‘또 이런 문자를 받을까 두렵다’고 했다. 여기어때 측은 ‘그럴 일은 없으니 안심하고 이용하라’고 했다. A씨는 마치 우리는 책임이 없다는 식의 반응에 속으로 분을 삭히고 있다가 소셜미디어(SNS)에서 협박 문자를 받은 사람들이 집단소송에 나선다는 정보를 보고 소송에 참여하게 됐다.


“정보 유출 원인, 보호 조치 미흡했던 탓”

여행 플랫폼 여기어때 운영사(김앤장법률사무소 대리)를 상대로 개인정보 유출 피해를 본 이용자들(법무법인 창천 대리)이 1인당 최대 40만원의 손해배상을 받게 됐다. 비록 배상 액수는 적지만, 정보통신망법(정보통신망 이용 촉진 및 정보보호 등에 관한 법률) 위반이 인정된 사건 중에서는 최대 액수라는 점에서 법조계의 관심이 쏠린다. 이번 사건의 쟁점은 크게 두 가지였다. 여기어때 측이 개인정보 보호 조치를 잘했는지 여부와 설령 보호 조치를 제대로 하지 않았다고 하더라도 해킹으로 인한 개인정보 유출과 인과관계를 인정할 수 있는지 여부였다.

피해자들 대리를 맡은 윤제선(사법연수원 40기) 법무법인 창천 변호사는 “숙박 예약 정보는 다른 정보와 달리 좀 더 내밀한, 개인의 비밀 정보를 담은 민감한 내용이라는 점에서 (여기어때 측이) 보다 조심해서 취급했어야 했다는 점을 강조했다”면서 “이게 유출됐을 경우 개인 피해가 막심하다는 점을 법정에서 부각시키는 데 우선 집중했다”고 말했다. 이어 ‘인터파크 정보 유출 사건 판례’를 들어 ‘기술적 보호 조치 소홀’과 ‘개인정보 유출’ 간에 인과관계를 인정할 수 있다는 점을 피력했다. 2016년 5월, 인터넷 쇼핑몰 인터파크가 인적 사항을 알 수 없는 해커에 의해 내부 전산망이 해킹당하는 사고가 발생했다. 이 사고로 인터파크가 관리하던 회원들의 비밀번호와 생년월일, 휴대전화 번호 등 개인정보가 유출됐다. 당시 재판부는 “인터파크가 회원들의 개인정보를 보호하기 위해 법령상 어떠한 조치를 해야 하는지 확인하고 이행할 의무가 있음에도 이를 게을리해 최대 접속 시간 제한 조치 및 비밀번호 암호화를 위한 조치를 취하지 않았다”면서 구(舊)정보통신망법 제28조 등을 위반한 과실을 인정한 바 있다.

하지만 여기어때 측은 당시 재판부가 ‘인과관계가 있다’고 명시하지 않았다는 점을 근거로 해킹에 따른 정보 유출 책임이 없다고 반박했다. 윤 변호사는 “물론 정보통신망법 제28조에 인과관계라는 단어가 들어 있지 않고 ‘과실이 있으면 손해배상을 해야 한다’는 취지로 돼 있다”면서도 “고의 과실로 인한 피해는 인과관계가 있는 것으로 해석해야 하고 손해배상이 관건인 민사 사건의 일반 원칙으로 봐도 (인과관계를) 인정해야 한다고 주장했다”고 말했다.


손해배상 액수 관건은 ‘舊정보통신망법 제32조’

인과관계 인정 여부만큼 중요한 것은 바로 ‘손해배상 액수’였다. 무엇보다 창천은 ‘정보통신망법 제32조’의 개정 취지를 강조하는 전략을 내세웠다. 2014년 5월 28일 개정된 구정보통신망법 제32조의2(법정손해배상의 청구)에, △정보통신 서비스 제공자 등이 고의 또는 과실로 규정을 위반하거나 △개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우 등에는 손해배상을 청구할 수 있다고 돼 있다. 특히 ‘300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다’고 규정한 조항에 집중했다(해당 조항은 현 개인정보보호법 제39조의2에 반영돼 있다).

윤 변호사는 “개인정보 유출 사고의 특성상, 개인이 기업을 대상으로 피해 규모를 입증하는 것이 현실적으로 어렵고, 보상받더라도 그 액수가 매우 적다”면서 “그 한계를 극복하고자 법이 개정됐다는 점을 피력했다”고 했다. 즉, 피해자가 손해 입증을 하지 않아도 법원으로부터 배상 판결을 받을 수 있도록 ‘법정손해배상제’가 도입됐고 이는 법원으로부터 배상 판결을 받을 수 있는 제도적 장치가 마련됐다는 것을 의미한다고 강조했다. 서울중앙지법 민사합의21부(부장판사 강민성)는 창천의 주장을 받아들여 9월 29일 원고 일부 승소 판결을 내렸다. 2017년 6월 소를 제기한 지 5년여 만의 승소였다. 재판부는 피해 정도에 따라 1인당 5만~40만원 상당의 배상금을 지급하라고 판결했는데, 최대액인 40만원은 지금까지 정보통신망법 위반이 인정된 사건 중 ‘최고액’이다. 통상적으로 KT 등 대기업의 과실이 인정된 ‘개인정보 유출 사건’에서도 최대 보상액은 10만원에 그쳤다.


‘돈 안 되는’ 집단소송에 진심 쏟은 변호사들

사실 집단소송은 변호사들 사이에서 ‘돈 안 되는’ 사건으로 알려져 있다. 피해자들이 많으면 많을수록 품은 더 들고, 배상액은 적다는 점에서, 한마디로 실속과는 거리가 먼 사건이다. 실제 이번 사건도 1·2차 소송을 합쳐서 전체 원고만 약 1250명에 달한다. 하지만 창천은 일부 피해자들과 1 대 1로 만나면서, 열정을 쏟지 않을 수 없었다고 했다. 윤 변호사는 “휴대전화까지 바꾸고 심지어 ‘누가 나를 감시하나’ ‘스토커가 붙었나’ 이런 생각까지 한 사람이 많다”면서 “특히 여성 피해자들는 정말 상처를 많이 받았다고 토로했다”고 말했다. 그러면서 “중소형 숙박 업소 이용객은 대부분 20대”라며 “소를 제기할 때만 해도 대학생이었는데 이제 30대가 됐다. 더 많은 보상액을 돌려주지 못해 미안할 따름”이라고 덧붙였다. 다만 창천은 정보통신망법 위반이 인정된 지금까지 판례 중 최고 보상액을 이끌어냈다는 점에 의미를 부여했다. 박경석(사법연수원 40기) 창천 변호사는 “사실 법원이 매우 전향적 판결을 한 셈이다. 유출된 개인정보가 사안에 따라 매우 심각한 충격을 줄 수 있다는 점을 사법부가 인정했다”면서 “다만 법상 300만원이라고 명시돼 있다는 점을 감안하면 여전히 적은 액수”라고 했다. 김종훈(변호사시험 4회) 창천 변호사도 “앞으로 보다 민감한 정보가 유출됐을 때는 법원이 더욱 엄격하게 볼 수 있다는 점도 포함된 판결이라고 본다”면서 “기업들에 개인정보보호에 대한 경각심을 제고할 수 있다는 것도 의미 있는 부분”이라고 자평했다. 

한편 법무법인 창천은 2017년 7월 설립 후 꾸준히 성장하고 있는 로펌이다. 현재 30명 이상의 변호사로 구성됐다. 가장 왕성하게 활동할 시기의 ‘경력 10년’ 이상, 상대적으로 젊은 법조인들로 구성돼 있으며 뛰어난 팀워크를 자랑한다. 같은 시기에 설립된 회계법인 창천과 협업하고 있으며 기업 자문과 인수합병(M&A), 상속 및 증여, 조세 그리고 형사까지 다양한 분야 사건을 종합적으로 처리하고 있다.