지난해 초 전국을 들썩이게 했던 대형 개인정보유출 사태의 핵심으로 지목된 NH농협은행·KB국민카드·롯데카드 등 카드 3사가 우여곡절 끝에 열린 형사재판 첫 공판에서 직접적인 책임을 부인하고 나섰다.
2일 법조계에 따르면 전날 서울중앙지방법원 형사25부(부장판사 김동아)는 개인정보보호법 위반 혐의로 기소된 카드3사에 대한 공판준비기일을 열었다.
이날 카드사들은 “용역업체가 업무를 맡긴 것이기 때문에 은행 측은 관리감독 책임이 없다”고 주장했다. 카드사들은 “범행을 저지른 직원이 전산개발 업체 소속이기 때문에 관리감독 책임은 전산개발업체가 져야 하고, 카드사는 형사 책임이 없다”고 주장했다.
반면 검찰은 “실질적인 지휘감독의 주체가 누구인지에 따라 사용인이 결정되는 것”이라고 반박하고 “범행을 저지른 직원은 은행 관계자에게 보고하고 업무를 보는 등 은행 측이 실질적인 사용인”이라고 반박을 일축했다.
이날 공판준비 기일에서 은행 측이 개인정보 유출의 법률적 책임이 없다는 점을 강조하고 나서면서 향후 이번 사건은 '사용자'의 범위와 '사용자 책임 한계'에 대한 치열한 법리공방이 벌어질 것으로 보인다.
한편 이날 첫 공판준비기일은 지난 5월 27일로 예정됐었지만 카드사들이 연기를 요청해 이날 열렸다. 카드3사는 각자 또는 공동으로 현재 수십여 건의 민사 재판을 진행 중이지만, 검찰의 기소에 따른 형사재판은 처음이라는 점에서 많은 관심이 쏠려 왔다.
지난 4월 카드3사를 불구속 기소한 합수단은 신용평가업체 코리아크레딧뷰로(KCB)의 직원 박모 씨가 2012~2013년 KCB의 카드 도난·분실, 위·변조 탐지시스템(FDS) 개발 프로젝트를 담당하면서 해당 카드사 3곳에서 파견 근무를 하는 동안 고객 정보를 빼낸 것으로 보고 있다. 박 씨는 이를 대출알선업자에게 넘겨 수 천만원을 챙겼으며, 박 씨와 대출알선업자 등은 지난해 10월 3년 이상의 실형이 이미 확정돼 복역하고 있다.
합수단에 따르면 박 씨는 보안프로그램이 설치되지 않은 컴퓨터에 USB 저장장치로 개인 정보를 내려받았다. 합수단은 이 과정에서 카드사와 카드사 직원들이 고객들의 개인정보 파일을 적절히 관리·감독하지 않고 개인정보를 암호화해놓지 않는 등 사고에 책임이 있다고 판단했다. 또한 KCB직원들이 사용한 컴퓨터에 USB를 통한 자료유출을 방지하는 프로그램이 없는데도 점검하지 않은 것도 문제로 지적된다.
특히나 유출된 개인정보 목록에는 다른 개인정보 유출 사태와 다르게 성명과 주민번호뿐 아니라 카드번호와 카드한도액까지 포함된 것으로 알려졌다. 이에 합수단은 카드사 3곳이 개인정보 안정성 확보에 필요한 기술적·관리적 및 물리적 조치를 취하지 않아 고객 개인정보가 유출되도록 했다는 이유로 개인정보보호법 위반 등의 혐의를 적용했다. [ 시사포커스 / 김종백 기자 ]
