[로이슈 전용모 기자] 개인정보보호법위반, 정보통신망이용촉진 및 정보보호등에 관한법률위반, 신용정보의이용 및 보호에 관한법률위반 혐의로 기소된 농협은행, 케이비국민카드, 롯데카드(신용정보의 이용 및 보호에 관한 법률위반 제외)에게 선고한 1심 벌금형을 유지한 원심이 대법원에서 확정됐다.

피고인 농협은행은 2012. 5. 16. KCB와 ‘신용카드 부정사용 예방시스템 모델링 개발’ 용역계약을 체결하고, 그 과정에서 2012년 6월 18일 고객 약 2197만 명의 개인정보, 2012년 10월 18일 고객 약 2235만 명의 개인정보를 유출했다. 피고인 국민카드는 2013년 1월 31일 KCB와 ‘카드부정방지시스템 업그레이드’ 용역계약을 체결하고, 그 과정에서 2013년 2월, 2013년 6월 두 차례 고객 4321만 명의 개인정보를 유출했다.

피고인 롯데카드는 2013년 5월 13일 KCB와 ‘FDS 리뉴얼 및 현금융통 스코어 리모델링 구축’ 용역계약을 체결하고, 그 과정에서 2013년 12월 12일 고객 1759만 명의 개인정보를 유출했다.

피고인 회사들에 대하여 양벌규정을 적용하기 위한 전제가 되는 개인정보 보호법 제73조 제1호는 “제24조 제3항, 제25조 제6항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실·도난·유출·변조 또는 훼손당한 자는 2년 이하의 징역 또는 1천만 원 이하의 벌금에 처한다.”라고 규정하고 있다. 2015년 7월 24일 개정된 개인정보 보호법에서 “2년 이하의 징역 또는 2천만 원 이하의 벌금”으로 법정형이 상향됐다.

1심(2015고합336)인 서울중앙지법 제25형사부(재판장 김동아 부장판사, 판사 권보원, 김시원)는 2016년 7월 15일 피고인 농협은행, 케이비국민카드에 각 벌금 1500만 원, 피고인 롯데카드에 벌금 1000만 원을 선고했다.

이 사건 공소사실 중 피고인 농협은행에 대한 2012년 12월 개인정보보호법위반의 점, 피고인들에 대한 각 정보통신망이용촉진 및 정보보호등에 관한법률위반의 점, 피고인 농협은행, 피고인 케이비국민카드에 대한 각 신용정보의이용 및 보호에관한법률위반의 점은 모두 무죄.

피고인들은 개인정보 보호법 제24조 제3항, 제29조, 같은 법 시행령 제21조, 제30조 제1항에 규정된 안전성 확보에 필요한 기술적·관리적 및 물리적 조치와 관련하여 구 기준이 정하고 있는 의무를 이행하지 않았다고 판단했다. 개인정보에 대한 접근 통제조치의무(구 기준 제6조 제3항), 보안프로그램 설치·사용의무(구 기준 제9조), 개인정보 보관장소에 대한 물리적 접근 방지의무(구 기준 제10조 제1항) 등을 위반해 안전성 확보조치의무를 불이행했다. 개인정보 보호법 제29조, 같은 법 시행령 제30조 제1항에 규정된 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 미필적으로나마 고의로 이행하지 않았다고 봤다.

금융기관에서 관리․보호하고 있는 고객들의 개인정보가 불법적으로 유출되는 경우 피해자가 된 정보주체들은 자신의 정보가 본인의 의사와 무관하게 유출되었다는 것을 넘어 보이스피싱, 스미싱, 대출사기 등 금융범죄의 표적이 될 수 있는 위험에 노출된다. 피해자가 많게는 수천만 명에 이르고 피해 정보 건수도 억 단위에 이르는 등 지금까지 발생한 개인정보 유출 사건 중 가장 규모가 크다.

유출된 정보가 어느 정도로 확산되어 어떤 방식으로 악용될지 가늠하기 어렵고, 피해회복이 사실상 불가능하다. 대한민국 경제활동인구 대다수가 피해자라고 해도 과언이 아닌 이 사건으로 인하여 금융시스템 안전에 대한 사회적 신뢰가 현저히 훼손됐고, 이를 회복하기 위해 지출해야 하는 유·무형의 사회적 비용이 막대하다.

KCB직원인 A는 대단한 기술적 수단을 동원해 이 사건 범행을 저지른 것이 아니라 누구나 시도할 수 있는 가장 단순하고 간편한 방법으로 개인정보를 유출했다. 개인정보 처리에 관한 업무분장, 책임소재가 불분명했다. 담당 임직원들의 전문성이 없고 업무에 대한 이해가 부족했다.

피고인 회사들은 금융감독원으로부터 3개월 영업정지, 기관 과태료 처분을 받았고, 그 임직원들도 정직, 감봉 등 징계를 받았다. 개인정보가 유출된 피해자들이 피고인 회사들을 상대로 제기한 여러 건의 민사소송이 진행 중이다.

피고인 롯데카드는 개인정보보호법이 제정되기 전인 2010년 4월경에도 A에 의하여 고객 1000만여 명의 개인정보를 유출당한 사실이 있지만 이 사건 전까지 이를 인지하지 못했다. A가 유출한 고객 개인정보를 집에서 보관하고 있다가 체포되어 유출된 정보가 더 이상 전파되지는 않았다.

그러자 피고인들 및 검사는 항소했다.

원심(2심 2016노2150)인 서울고법 제7형사부(재판장 이균용 부장판사)는 2020년 1월 31일 피고인들과 검사의 항소를 모두 기각해 1심을 유지했다.

원심은 "A가 업무 수행 중에 B 등 타인에게 전달할 목적으로 고객 개인정보를 USB 메모리에 대량으로 다운로드받아 유출한 행위는, 객관적으로 피고인 회사들의 업무인 FDS 시스템 업그레이드 작업을 처리하는 과정 중에 이루어진 것으로 볼 수 없고, 주관적으로도 A는 개인적인 이익을 추구하기 위해 위와 같은 행위를 했을 뿐 부수적으로나마 피고인 회사들의 업무를 위하여 행동한다는 의사를 가지고 있었던 것으로 볼 수도 없다. 따라서 이 부분 각 공소사실은 범죄의 증명이 없는 때에 해당한다고 보아 무죄를 선고한 1심 판단은 정당하다. 검사의 이 부분 주장도 받아들일 수 없다"고 했다.

피고인들과 검사는 대법원에 상고했다.

대법원 제2부(주심 대법관 박상옥)는 2020년 8월 27일 상고를 모두 기각해 원심을 확정했다(대법원 2020.8.27.선고 2020도2432 판결).

대법원은 "무죄를 선고한 제1심판결을 그대로 유지한 원심의 판단에 상고이유와 같이 구 정보통신망법 및 구 신용정보법의 양벌규정에 관한 법리를 오해한 위법이 없다"며 검사의 상고를 기각했다.

또 "피고인들에 대한 공소사실 중 각 구 개인정보 보호법(2015. 7. 24. 법률 제13423호로 개정되기 전의 것, 이하 ‘구 개인정보 보호법’) 위반의 점(무죄 부분 제외)을 유죄로 판단한 제1심판결을 그대로 유지한 원심 판단에 상고이유와 같이 필요한 심리를 다하지 않은 채 논리와 경험의 법칙을 위반하여 자유심증주의의 한계를 벗어나 사실을 잘못 인정하거나 구 개인정보 보호법 제73조 제1호 위반죄의 성립, 위임입법의 한계, 양벌규정에 관한 법리를 오해하고, 죄형법정주의 및 불고불리 원칙을 위반하거나 판단누락 등으로 판결에 영향을 미친 위법이 없다"고 피고인들의 상고역시 기각했다.

전용모 로이슈(lawissue) 기자 sisalaw@lawissue.co.kr