'카드3사 정보유출' 신용정보사 직원
범인 소속 신용정보회사.. 금융위, 3개월 영업정지
그런데 K사 직원 박모씨(40)는 이들 회사로부터 아무런 관리.감독도 받지 않고 이동식저장장치(USB) 등을 이용해 수시로 개인정보를 빼냈다.
검찰은 2014년 1월 박씨가 이런 방식으로 카드사 고객들의 이름과 주민.휴대전화.신용카드 번호, 카드 한도.이용액 등 개인정보를 유출, 대출알선업자에게 넘기고 그 대가로 수천만원을 챙긴 것으로 조사됐다고 발표했다.
사상 최대의 개인정보 유출 사건으로 기록된 이른바 '카드3사 정보 유출사건'이다. 유출된 고객 정보는 농협 2259만건, 국민카드 5378만건, 롯데카드 2689만건 등 총 1억건이 넘었다. 사실상 전 국민의 개인정보가 털린 셈이었다.
유출된 개인정보는 상당수 회수.폐기됐으나 일부는 대출중개업체 등에 넘어가 실제 영업에 사용된 것으로 드러났다.
검찰은 이들 카드 3사가 각각 개인정보 유출 방지 매뉴얼을 수립.시행하고 있었지만 개인정보 유출 사태에 회사 측의 과실 책임이 크다고 보고 재판에 넘겼고 신용정보이용 및 보호에 관한 법률 위반 등 혐의로 기소된 박씨는 징역 3년을 확정받았다.
금융위원회는 별도로 업무목적 외 개인신용정보 누설, 임직원 보안교육 소홀, 전산통제 부적정 등을 이유로 K사에 대해 2014년 12월 3개월의 업무정지 명령을 내렸다.
그러나 K사는 "카드사들이 암호화되지 않은 개인정보를 박씨에게 제공한 것으로, 이는 K사의 업무범위가 아니며 고객정보 유출 방지를 위한 관리감독 의무를 소홀히 하지 않았다"고 주장, 업무정지 취소 소송을 냈다.
이에 금융위는 금융사건 전문 로펌인 법무법인 바른의 김도형 변호사를 대리인으로 선임했다.
김 변호사는 신용정보법을 근거로 K사의 주장을 정면으로 반박했다. 신용정보법에 따르면 신용정보회사 등과 신용정보의 처리를 위탁받은 자의 임직원이거나 임직원이었던 자는 업무상 알게 된 타인의 신용정보 및 사생활 등 개인적 비밀을 업무 목적 외에 누설하거나 이를 이용해서는 안된다고 규정하고 있다.
김 변호사는 금융위의 3개월 영업정지는 이번 사건이 K사의 외부용역 수행과정에서 발생했다는 점 등을 고려해 K사에 가혹한 결과가 발생하지 않도록 업무의 일부만을 정지한 것으로 적법한 조치라고 강조했다.
사건을 심리한 서울행정법원 행정2부(박연욱 부장판사)는 이를 받아들여 지난해 12월 "업무정지 명령은 정당하다"며 금융위 손을 들어줬고 K사가 항소를 포기하면서 판결은 확정됐다. 김 변호사는 "카드사 뿐만 아니라 정보유출 주범의 사용자인 신용정보회사도 행정제재의 대상이 된다는 점을 분명히 한 의미 있는 판결"이라고 전했다.
한편 카드사 정보유출 사건을 둘러싼 법정공방은 현재진행형이다. 현재 카드3사를 피고인으로 형사재판 1심이 진행 중이다.
여기에 서울에서만 20만명이 100건 가량의 소송을 내는 등 카드사 고객들은 카드사와 KCB를 상대로 전국 각지에서 손해배상을 청구했고 올 초 카드사와 K사가 연대해 10만원을 배상하라는 1심 판결이 내려지기도 했다.
mountjo@fnnews.com 조상희 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지