피고인 주식회사 B는 영리를 목적으로 인터넷사이트를 운영하면서 일반여행업(알선), 관광호텔업 등을 영위하는 정보통신서비스제공자이고, 피고인 A는 B에 입사해 정보보호분야이 업무전반을 총괄하는 사람이다.
H는 B와 체결한 '데이터베이스운영 및 관리 용역계약'을 체결한 I 소속 직원으로 B에 상주하면서 업무에 종사하는 개인정보취급자이다.
피고인 B는 2017년 기중 연간 매출액이 4,400억 원 정도이고, 종업원 수가 2,700명 정도 되는 큰 회사로, 고객의 여행예약내역, 이메일, 전화번호, 주소, 여권번호 등을 비롯한 중요한 개인정보를 관리하고 있으므로 사업자의 개인정보 보호조치 이행을 돕기 위한 이 사건 고시나 그 해설서(방송통신위원회와 한국인터넷진흥원 발간)에 따른 최소한의 기준은 당연히 준수해야 한다.
성명불상자는 2017년 9월 12일경 B의 중앙관리프로그램인 넷클라이언트에 침투한 후 원격제어 악성프로그램을 유포해 B 고객 등 이용자의 개인정보가 보관된 DB에 침입, 이메일, 성별, 전화번호, 주소, 여권번호 등이 기재된 '고객 테이블 정보' 총 3만4357건의 개인정보를 유출했다.
1심(2019고단1843)인 서울동부지법 박준민 판사는 2020년 1월 6일 정보통신망법 위반 혐의로 기소된 피고인들에게 유출된 개인정보의 규모, 유출 경위를 참작해 각 벌금 1,000만 원을 선고했다.
피고인들은 사실오인 및 법리오해, 양형부당으로, 검사는 양형부당으로 쌍방 항소했다.
2심(원심 2020노43)인 서울동부지법 제1형사부(재판장 이태우 부장판사)는 2020년 7월 23일 피고인들 및 검사의 항소를 모두 기각해 1심을 유지했다.
피고인 A가 안전한 인증수단을 적용할 의무와 이 사건 개인정보 유출사고 사이에 인과관계가 존재한다고 봄이 타당하다. 개인정보취급자의 비밀번호를 일방향 암호화하여 저장하지 않는 행위도 정보통신망법위반에 해당한다고 봄이 상당하다.
재판부는 "이 사건 범죄는 정보통신서비스 제공자의 관리소홀 등으로 개인정보가 유출된 것으로, 유출된 개인정보의 내용(여행예약내역, 이메일, 전화번호, 주소, 여권번호 등)이 다른 범죄에 사용될 가능성이 높고 유출된 개인정보의 규모도 커 사회적 피해가 상당한 점 등은 피고인들에게 불리한 정상이다"고 지적했다.
하지만 B와 용역계약을 체결한 소속 직원이 ID와 비밀번호 등을 컴퓨터에 평문으로 저장한 행위가 개인정보 유출에 큰 원인으로 작용한 점, 피고인 A는 초범인 점, 피고인 B는 개인정보 유출로 인한 2차 피해가 발생하지 않도록 노력한 점 등을 종합하면, 원심의 형은 적정하게 결정된 것으로 보이고, 사후적으로 양형을 변경할 정도의 특별한 사정이 보이지 않는다"고 양형이유를 설명했다.
전용모 로이슈(lawissue) 기자 sisalaw@lawissue.co.kr
