여기어때 해킹 피해자들이 집단 소송에 나서면서 법원 판단이 주목된다. 개정된 개인정보보호법 시행 이후 법원이 누구 손을 들어줄지 여부다. 최종 판결에 따른 배상 여부와 규모도 관심사다.
과거 정보 유출 사건은 1인당 배상액이 10만~20만원 안팎으로 결정됐다. 2013~2014년 KT 이용자 981만명의 개인 정보 1170만건이 유출됐다. 피해자들은 손해배상 청구 소송을 진행했고, 1인당 10만원의 배상금을 받았다. 2014년 롯데카드, KB국민카드, NH카드 3사 유출 사고 때도 법원은 소송 참가자 5000여명에게 10만원씩 지급하라고 판결했다.
법 의무 보안 의무를 다했다고 판단되면 기업의 손을 들어주기도 했다. 2011년 3500만명의 개인 정보를 해킹당한 네이트에는 손해배상 책임이 없다는 결론을 내렸다. 솜방망이 처벌이라는 지적을 받으면서도 배상액 규모는 수년간 변하지 않았다. 개인 정보 유출이 큰 손해로 이어졌다는 인과관계가 명확하지 않기 때문이다. 이미 다른 경로로 개인 정보가 많이 털렸다는 현실이 반영된 결과라는 게 법조계의 중론이다.
반면에 액수가 높은 판례도 있다. 피해자가 정신 피해 정도를 명확히 재판부에 알리고 설득한 결과다. 2011년에 발생한 네이트 개인 정보 유출 사고와 관련해 한 재판부는 배상금 100만원을 결정했다. 이름, 주민등록번호, 아이디, 비밀번호, 주소, 전화번호를 유출 당한 피해자가 위자료 300만원을 청구한 사건이다. 당시 1심 법원은 100만원을 인정했다. 업체 측에서 항소했지만 항소심 역시 1심 결론을 그대로 유지했다.
그러나 이들 사례를 여기어때 소송에 직접 대입하긴 어렵다. 유출된 정보의 성격이 다르다. 일단 주민등록번호는 새어 나가지 않은 것으로 전해졌다. 그 대신 숙박 정보가 유출됐다. 성적 수치심을 불러일으키는 협박성 문자 메시지가 대량 발송되기도 했다. 법원이 이에 대한 정신 피해를 어느 선까지 인정하는지가 법 책임 판단 및 배상액을 결정짓는 잣대가 될 전망이다. 여기어때가 승소한다면 배상금액은 무의미해진다.
바뀐 법도 변수다. 지난해 개인정보보호법이 개정됐다. 여기어때 소송은 법 개정 이후 첫 번째 정보 유출 사건이다. 이전에는 기업의 기술 잘못까지도 일반 소비자에게 입증 책임이 있었다. 지금은 정보 유출 사실만으로도 법원이 최고 300만원까지 손해배상을 인정할 수 있다. 기업체의 고의·중과실이 발견되면 손해액의 3배까지 배상금을 늘릴 수 있는 제도도 추가됐다. 재판부의 재량 범위가 확대된 것이다. 법 개정 취지가 판결에 얼마나 영향을 미칠지는 미지수다.
여기어때 해킹 사건 피해자들을 돕는 인터넷 카페는 집단 소송을 추진하고 있다. 김평호 여해법률사무소 변호사는 여기어때를 상대로 이달 말 민사 소송을 제기할 예정이다. 오는 26일까지 1차로 피해자를 집계한 뒤 소장을 접수한다. 또 다른 집단 소송 카페를 운영하는 법률사무소 제하 윤제선 변호사도 비슷한 시기에 형사 소송을 한다. 민사와 형사를 병행할 방침이다. 이들은 손해배상 금액으로 100만~300만원을 요청할 계획이다.
최종희기자 choijh@etnews.com