법원 “KT, 2014년 고객 정보 대량 유출 배상 책임 없다”

2012년 판결과 유사
시스템 한계 등 인정

법원이 2014년에 발생한 대규모 고객 개인정보 유출 사고에 대해 KT의 책임을 인정하지 않았다.

2012년 발생한 870만명의 개인정보 유출 사고에 대해 2심 법원이 손해배상 책임을 인정하지 않은 데 이어, 2년 뒤 벌어진 980만명의 개인정보 유출 사고에서도 KT는 민사상 책임을 면하게 됐다.

17일 법조계에 따르면 서울고법 민사6부(이정석 부장판사)는 고객 400여명이 KT를 상대로 낸 손해배상 청구 소송 항소심에서 1심과 마찬가지로 원고 패소로 판결했다.

재판부는 “KT 시스템에 대한 접속이 하루 수천만 건에 이르는 상황에서 모든 접속 시도를 일일이 분석하라고 요구하는 것은 현재 기술 수준에서 현실적이지 않고, 합리적 수준의 보호조치라고 할 수도 없다”고 판단했다.

또한 재판부는 고객서비스 계약번호를 암호화하지 않았다는 지적에 “다수의 정보를 암호화하는 것은 상당한 부하를 가져와 시스템 오류까지 초래할 수 있어 현실적으로 가능하지 않다”고 밝혔다.

이번 재판은 2013년 8월부터 2014년 2월 사이 한 해커가 KT 가입자 981만여명에 대해 1170만여건의 개인정보를 유출한 사건과 관련된다.

당시 해커는 자동화 프로그램으로 ‘마이올레’ 홈페이지에 접근해 고객 이름, 주민등록번호, 전화번호, 은행계좌번호, 카드결제번호 및 유효기간, 주소 등의 정보를 빼간 것으로 조사됐다.

이에 고객들은 KT가 고객정보를 보호하기 위한 노력을 다하지 못했다며 1인당 50만원을 배상하라는 소송을 냈다.

그러나 1·2심 법원 모두 “KT가 개인정보 유출사건이 났을 때 방송통신위원회가 고시한 ‘개인정보의 기술적·관리적 보호조치 기준’을 어겨 개인정보의 안정성 확보 의무를 위반했다고 보기 어렵다”고 판단했다.

1심 재판부는 KT가 퇴직자 계정의 접근권한을 말소하지 않아 해커들이 이를 이용했다는 주장은 “해당 홈페이지를 통해 개인정보가 유출됐다는 증거가 없다”며 받아들이지 않았다.

또 비정상적 접근에 대한 모니터링이 이뤄지지 않았다는 주장에 대해서도 “KT는 요구되는 침입 차단 시스템을 적절히 설치·운영했고, 현실적으로 해커가 활용한 접속 수법까지 탐지하기는 어려웠다”고 판단했다.

이런 판단은 2012년 발생한 고객 870만 명의 개인정보 유출 사고에 대한 법원 판단과 상당 부분 유사하다.

당시 1심 법원은 KT의 관리 부실을 인정하며 1인당 10만원을 지급하라고 판결했지만, 올해 1월 2심에서는 이를 뒤집고 KT의 책임을 인정하지 않았다.

2심 법원 역시 KT가 퇴직자 계정을 말소하지 않았고 하루 최대 수십만 건의 비정상적 접근을 모니터링하지 않았다는 원고의 주장을 모두 기각했다.

이로부터 2년 뒤에 발생한 사건을 두고도 같은 문제가 있었다는 주장이 제기됐지만, 법원의 판단은 바뀌지 않았다.