1. 통신사의 법적 책임 근거
가. 개인정보보호법상 손해배상책임
통신사는 개인정보처리자로서 개인정보보호법상 손해배상책임을 집니다. 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있으며, 이 경우 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없습니다 (개인정보 보호법 제39조 제1항).
나. 정보통신망법상 기술적·관리적 보호조치 의무
통신사는 정보통신서비스 제공자로서 개인정보의 안전성 확보에 필요한 기술적·관리적 보호조치를 취할 의무가 있습니다. 이러한 보호조치 의무를 위반하여 해킹사고가 발생한 경우 손해배상책임을 질 수 있습니다.
2. 실제 통신사 개인정보 유출 사례 및 판례
가. KT 통신사 전산영업시스템(N-STEP) 해킹 사건
1) 사건 개요
2012년 KT의 통신사 전산영업시스템(N-STEP)이 해킹되어 대규모 고객정보가 유출된 사건입니다 .
2) 주요 판례
서울중앙지방법원 2014. 8. 22. 선고 2012가합89820 판결에서 법원은 다음과 같이 판시했습니다:
- 통신사의 주의의무: “전국적인 규모의 전기통신사업을 운영하면서 공중을 상대로 정보통신서비스를 제공하는 피고와 같은 사업자로서는 신용정보와 같은 중요한 사항을 포함한 개인정보를 관리할 때에 그 정보가 유출되지 않도록 최선의 노력을 다할 주의의무를 가진다”
- 손해배상책임 인정: “피고는 퇴직한 개인정보취급자의 개인정보처리시스템 접근권한 말소의무, 개인정보처리시스템의 접속기록 확인·감독 의무를 게을리하였고, 피고의 이와 같은 주의의무 위반으로 인해 5개월이 넘는 기간에 걸쳐 이 사건 정보유출사고가 발생하였다”
대법원 2018. 12. 28. 선고 2017다256910 판결에서는 통신사의 구체적 의무 위반을 다음과 같이 판단했습니다:
- 해킹프로그램이 VPN에 접속되어 있기만 하면 인증을 거치지 않고 직접 ESB 서버에 접속하여 고객정보를 유출할 수 있는 구조적 문제가 있었음
- 퇴직한 개인정보취급자의 접근권한을 말소하지 않았더라도 시스템 구조상 해킹을 막을 수 없었다는 이유로 일부 책임을 제한
나. SK커뮤니케이션즈 네이트·싸이월드 개인정보 유출 사건
1) 사건 개요
2011년 SK커뮤니케이션즈의 네이트·싸이월드 서비스에서 대규모 개인정보 유출이 발생한 사건입니다.
2) 판례
춘천지방법원 2018. 5. 30. 선고 2015나6511 판결에서는 통신사의 기술적·관리적 보호조치 의무 이행 여부를 엄격히 심사했으나, 결과적으로 “피고 SK컴즈가 개인정보 유출 방지에 관한 보호조치를 이행하지 않아 이 사건 해킹 사고를 막지 못한 것으로 보기 어렵다”고 판단했습니다.
다. 통신사 개인정보 유출 관련 대법원 판례의 일반 원칙
대법원 2015. 2. 12. 선고 2013다43994,44003 판결에서는 정보통신서비스 제공자의 책임 판단 기준을 제시했습니다:
“정보통신서비스 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 ‘해커’ 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 아니한 점” 등을 고려하여 책임을 판단해야 한다고 했습니다.
3. 통신사 책임 인정 요건
가. 기술적·관리적 보호조치 의무 위반
서울중앙지방법원 2010. 01. 14 선고 2008가합45021 판결에서 제시한 판단 기준:
- 관련 법령이 정보통신서비스 제공자에게 요구하고 있는 기술적·관리적 보안 조치의 내용
- 해킹 당시 당해 정보통신서비스 제공자가 취하고 있던 보안 조치의 내용
- 해킹 방지 기술의 발전 정도
- 해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도
- 해커가 사용한 해킹 기술의 수준
- 개인정보 유출로 인해 이용자가 입게 되는 피해의 정도
나. 구체적 의무 위반 사례
통신사가 책임을 지는 경우의 구체적 의무 위반:
- 접근권한 관리 소홀: 퇴직한 개인정보취급자의 개인정보처리시스템 접근권한 말소 의무 위반
- 접속기록 관리 소홀: 개인정보처리시스템의 접속기록 확인·감독 의무 위반
- 보안시스템 구축 미비: 적절한 인증 절차 없이 시스템 접근이 가능한 구조적 결함
4. 손해배상의 범위
가. 위자료 인정 기준
대법원 2018. 10. 25. 선고 2018다223214 판결 등에서 제시한 기준:
개인정보 유출로 인한 정신적 손해 발생 여부는 다음을 종합적으로 고려하여 판단:
- 유출된 개인정보의 종류와 성격
- 개인정보 유출로 정보주체를 식별할 가능성 발생 여부
- 제3자의 열람 가능성
- 유출된 개인정보의 확산 범위
- 추가적인 법익침해 가능성 발생 여부
나. 위자료 액수
실제 판례에서 인정된 위자료는 대부분 10만원 내외입니다:
- 서울중앙지방법원 2014. 12. 5. 선고 2012가단216564 판결: 10만원
- 대구지방법원 김천지원 구미시법원 2012. 4. 26. 선고 2011가소17384 판결: 100만원 (예외적 고액)
5. 통신사 책임 제한 사유
가. 불가항력 및 기술적 한계
대법원 2018. 1. 25. 선고 2015다24904 판결에서는 “정보통신서비스 등은 불가피하게 내재적인 취약점을 내포하고 있어서 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 않다”고 하여 통신사의 책임을 일정 부분 제한했습니다.
나. 적절한 보안조치 이행 시 책임 제한
통신사가 관련 법령에서 요구하는 기술적·관리적 보호조치를 적절히 이행한 경우에는 책임이 제한될 수 있습니다.
6. 최근 동향 및 실무대응방법
통신사의 개인정보 유출 사고에 대한 법원의 판단은 점차 엄격해지고 있으며, 특히 접근권한 관리, 접속기록 감독, 보안시스템 구축 등의 의무를 소홀히 한 경우 손해배상책임을 인정하는 경향입니다. 다만 위자료 액수는 여전히 제한적인 수준에 머물고 있어, 통신사의 실질적 부담은 크지 않은 상황입니다.
실무 대응 방법
- 피해자는 통신사 본사지점/대리점/고객센터를 통해 공식 피해 신고 후 구체 증거자료(유심변경 이력, 통화 내역, 피해입증서류 등) 및 신분 확인서 제출.
- 통신사 보상 절차에서 피해 심사 후 승인된 금액을 지급하거나 청구취소·감면 처리함.
- 통신사 보상에 불복하거나 과실이 분명할 경우, 방송통신위원회 민원센터(1377), 통신민원조정센터(080-3472-119)로 분쟁조정 및 민사소송(손해배상 청구 소장)도 가능.
즉, 통신사 과실(주의의무 위반+본인확인 부실)이 명확한 상황에서 손해 발생이 인정되면 채무부존재 확인, 손해배상, 피해 복구 일체를 청구할 수 있습니다.