인터파크 회원들 ‘개인정보 유출’에 소송…법원 “10만원씩 배상”

© News1 DB

인터넷 쇼핑몰 인터파크 회원들이 2016년 5월 고객 정보유출 사태로 피해를 봤다며 회사를 상대로 낸 소송에서 법원이 인당 10만원씩의 손해배상 책임을 인정했다.

26일 법조계에 따르면 서울중앙지법 민사35단독 김정철 판사는 이모씨 등 39명이 주식회사 인터파크를 상대로 낸 손해배상 청구 소송에서 원고 일부 승소 판결했다.

2016년 5월 인터파크에선 북한 정찰총국으로 추정되는 해커들의 침투로 1030만명에 달하는 회원 개인정보가 유출됐다. 이 사고로 비밀번호와 생년월일, 휴대폰번호, 이메일 등 개인정보 2540만여건이 외부로 빠져나갔다. 탈퇴회원 아이디 173만건도 유출됐다.

같은해 7월 미래창조과학부와 방송통신위원회 등으로 구성된 ‘민·관 합동조사단’은 조사에 착수했다. 조사 결과 이 해커는 그해 5월3일 ‘지능형 지속가능 위협(Advanced Persistent Threat, APT)’ 공격으로 인터파크 직원의 PC를 감염시킨 뒤 사흘만인 6일 개인정보를 모두 빼내갔다.

APT는 해킹 수법이라기보다는 정해진 특정 목표에 따라 여러 가지 다양한 해킹 기술을 동원해 은밀하게 지속적으로 공격하는 행위를 뜻한다.

주된 수법은 이메일을 통한 침투로, 당시 해커는 개인정보를 다루지 않는 일반 사무직원 1명에게 그의 가족인 척 가장해 악성코드를 심은 이메일을 보낸 것으로 드러났다.

이 직원이 메일을 열어보면서 악성코드가 인터파크 서버에 침투했고 해커가 이를 통해 서버에 저장된 인터파크 회원들의 이름, 전화번호, 아이디 등의 개인정보를 빼갔다.

같은해 10월 이씨 등은 “인터파크가 고의 또는 과실로 개인정보 보호조치를 소홀히 해 정보유출 피해를 발생시켰다”며 1인당 100만원을 배상하라고 소송을 제기했다.

재판부는 “정보통신서비스 제공자는 개인정보의 분실, 도난 등을 막기 위해 최대접속시간 제한조치, 망분리프로그램 설치 등 기술적 조치를 해야 하는데 인터파크는 하지 않았다”며 “이 때문에 별도 인증절차를 거치지 않고 해커가 인터파크 직원의 컴퓨터에 접속해 개인정보를 비롯한 수천만건의 회원 정보를 유출할 수 있었다”고 판시했다.

이어 “유출된 개인정보의 종류와 성격, 개인정보를 유출한 행위자 및 유출 경위, 유출된 개인정보에 대한 제3자의 열람 가능성 등을 고려할 때 해당 정보 유출로 원고들에게 위자료를 배상할 만한 정신적 손해도 발생했을 것으로 보인다”고 설명했다.

재판부는 Δ개인정보가 유출된 경위 Δ유출로 인한 피해 발생 및 확산 방지를 위해 인터파크 측이 취한 조치 Δ개인정보 유출 뒤 명의도용 등 추가적인 법익침해가 발생했다고 볼 사정이 없는 점 등을 고려해 1인당 10만원을 배상하라고 판단했다.

한편 방통위는 이와 관련 인터파크에 과징금 44억8000만원과 과태료 2500만원 처분을 내렸다. 인터파크는 불복해 행정소송을 냈지만 법원은 받아들이지 않았다. 이 판단은 지난 3월 대법원에서 최종 확정됐다.


(서울=뉴스1)