법무법인 LKB평산 집단소송센터장인 정태원 변호사는 22일 인터뷰에서 결혼정보회사 듀오 개인정보 유출 사건을 이렇게 설명했다. 정 변호사는 현재 듀오 개인정보 유출 사건 피해자들의 집단소송을 대리하고 있다. 지금까지 두 차례에 걸쳐 피해자 501명을 원고로 소장을 냈고, 추가 소송도 준비하고 있다.
이번 사건은 지난해 1월 듀오 직원의 업무용 PC가 해킹되면서 시작됐다. 개인정보보호위원회에 따르면 확인된 피해자는 42만464명이다. 유출 가능성이 있는 정보에는 이름, 나이, 연락처 같은 기본 정보뿐 아니라 결혼 이력, 이혼 사유, 결혼 기간, 전 배우자 이름, 양육 자녀 수, 성격과 성향 등 민감한 사생활 정보가 포함됐다. 개보위는 듀오가 안전조치 의무를 소홀히 했다고 보고 과징금 11억9700만원을 부과했다.
정 변호사는 이번 소송에서 1인당 100만원의 손해배상을 청구했다. 그는 "기존 개인정보 유출 사건에서는 1인당 10만~30만원 정도의 위자료가 인정된 사례가 많지만, 이번 사건은 그 기준에 그대로 맞추기 어렵다"고 말했다. 유출된 정보가 매우 민감하고, 보유기간이 지난 정보까지 장기간 보관돼 있었으며, 피해자들이 실제로 상당한 불안과 공포를 호소하고 있다는 이유에서다. 다음은 정 변호사와의 일문일답.
―지금까지 소송 참여 의사를 밝힌 피해자는 몇 명인가.
"5월 6일과 14일 두 차례에 걸쳐 피해자 총 501명에 대한 소장을 제출했다. 이후에도 피해자 400명가량이 추가 소송 참여 의사를 밝혔다. 소송에 참여하겠다는 피해자가 계속 늘고 있어 3차, 4차 소송으로 확대될 것으로 보인다."
―아직 자신의 개인정보가 유출됐는지 모르는 피해자도 있나.
"그렇다. 아직 자신이 피해자인지조차 확인하지 못한 잠재 피해자가 상당수 있다. 예를 들어 20년 전 듀오에 가입할 때 지금은 사라진 야후코리아 메일을 썼거나, 휴대전화 번호 앞자리가 011인 번호를 사용한 경우다. 일부 회원은 20년 전 계약서나 가입 서류를 직접 찾아와야 피해 사실을 확인해 줄 수 있다는 안내를 받기도 했다. 이런 대응은 적절하지 않다. 오래전 가입자도 피해 여부를 확인할 수 있도록 회사가 별도 절차를 마련해야 한다."
―이번 사건이 다른 개인정보 유출 사건과 구별되는 점은 무엇인가.
"유출된 정보의 성격이 다르다. 과거 개인정보 유출 사건은 이름, 전화번호, 이메일, 주소, 아이디 정도가 문제 되는 경우가 많았다. 물론 그것도 심각한 피해다. 하지만 이번에는 혼인 경력, 이혼 여부, 가족관계, 종교, 학력, 직장, 소득 수준, 신체 정보, 사진, 자기소개 내용까지 한 사람의 사생활 전반이 담겨 있다. 단순한 연락처 유출이 아니라 사실상 한 사람의 결혼 이력서와 사생활 기록이 통째로 유출된 셈이다."
―피해가 커진 이유는 무엇이라고 보나.
"이미 탈퇴했거나 오래전에 서비스를 이용한 회원들의 정보까지 남아 있었다는 점이다. 개인정보는 '나중에 쓸 수도 있다'는 이유로 무기한 보관할 수 있는 것이 아니다. 이번 사건은 해킹 자체도 문제지만, 보관하지 말았어야 할 정보가 계속 남아 있었기 때문에 피해가 커진 사건이다. 그런 점에서 기존 사건과 구별된다."
―소송에 참여한 피해자들은 무엇을 가장 우려하나.
"보이스피싱이나 금융 범죄, 불법 마케팅에 악용될 가능성을 매우 우려하고 있다. 하지만 더 큰 공포는 자신의 혼인 이력, 가족관계, 직장, 사진, 자기소개 내용 같은 사적인 정보가 어디에서 누구에게 어떻게 이용될지 알 수 없다는 점이다. 실제로 '광장에 벌거벗겨진 채 내던져진 것 같다' '누가 나를 계속 지켜보는 것 같고, 평생 추가 피해가 생길까 불안하다'는 취지로 호소하는 피해자도 있다."
―배상금을 1인당 100만원으로 책정한 이유는.
"기존 개인정보 유출 사건에서는 1인당 10만~30만원 정도의 위자료가 인정된 사례가 많다. 그러나 이번 사건을 그 기준에 그대로 맞추기는 어렵다. 이유는 세 가지다. 첫째, 유출된 정보가 매우 민감하다. 둘째, 보유기간이 지난 정보까지 장기간 보관했다. 셋째, 피해자들이 실제로 상당한 불안과 공포를 호소하고 있다. 1인당 100만원 청구가 과도하다고 보지 않는다. 오히려 결혼정보회사에 맡긴 가장 내밀한 정보가 유출된 사건이라는 점을 고려하면, 기존 개인정보 유출 사건보다 훨씬 높은 배상액이 인정돼야 한다."
―법원이 손해배상액을 정할 때 중점적으로 보는 요소는 무엇인가.
"법원은 단순히 정보가 유출됐는지만 보지 않는다. 유출된 정보가 얼마나 민감한지, 회사의 과실이 얼마나 중한지, 피해자들이 어느 정도의 정신적 고통과 불안을 겪었는지, 2차 피해 가능성이 어느 정도인지 등을 종합적으로 본다."
―참고할 만한 판례가 있나.
"심리 상담 내용이 동의 없이 세미나 자료와 책자로 유통된 사건에서 법원은 위자료 1000만원을 인정했다. 상담 내용에 가족관계, 연애 성향, 종교관, 개인적 고민처럼 매우 사적인 정보가 담겨 있다고 본 것이다. 환자의 개인정보와 진료 정보가 온라인 오픈채팅방에 올라간 사건에서는 150만원, 업무상 알게 된 주소를 동의 없이 소송 서류에 적어 낸 사건에서는 100만원이 인정됐다. 법원은 단순히 개인정보 유출 여부만 보지 않고, 유출된 정보의 민감성, 유출 경위, 제3자 열람 가능성, 회사의 과실, 피해자의 정신적 고통, 사후 조치 등을 함께 따진다. 1인당 100만원 청구가 과도하지 않다고 보는 이유다."
―다른 로펌에서도 집단소송을 준비 중이다. 피해자들이 로펌을 선택할 때 고려해야 할 점은 무엇인가.
"세 가지를 봐야 한다. 먼저 이 사건을 단순한 개인정보 유출이 아니라 민감정보와 사생활 침해 사건으로 이해하는지다. 다음으로 개인정보보호위원회 처분, 안전조치 의무 위반, 보유기간 경과 정보 미파기, 통지 지연 등을 어떻게 주장할지 소송 전략이 구체적이어야 한다. 마지막으로 피해자와의 소통 체계도 중요하다. 집단소송은 참여자 수보다 피해자의 불안과 개별 사정을 얼마나 충실히 반영하느냐가 관건이다."
―반복되는 개인정보 유출 사태를 막으려면 무엇이 필요한가.
"핵심은 다섯 가지다. 기업은 개인정보를 필요한 만큼만 수집해야 한다. 보유기간이 지난 정보는 반드시 삭제해야 한다. 결혼정보회사, 병원, 금융회사처럼 민감한 정보를 다루는 기업에는 더 높은 보안 의무를 요구해야 한다. 사고가 나면 피해자에게 신속하고 구체적으로 알려 추가 피해를 막아야 한다. 마지막으로 피해자가 실제 배상을 받을 수 있는 장치가 필요하다. 개인정보 보호가 기업의 선택이 아니라 의무로 작동하려면 과징금뿐 아니라 피해자 배상도 실효성 있게 이뤄져야 한다."