'고객정보 1억건 유출' 농협·KB·롯데카드 벌금형 확정

용역직원 무단유출 방치…개인정보보호법 위반 기소

대법원 2부, 1000만~1500만원 벌금처분 원심 확정

관리 소홀로 1억건이 넘는 고객 개인정보를 유출한 농협은행·KB국민은행·롯데카드에 벌금형이 확정됐다.

대법원 2부(주심 박상옥 대법관)는 개인정보보호법 위반 등 혐의로 재판에 넘겨진 농협은행·KB국민카드·롯데카드에 대한 상고심에서 벌금형을 선고한 원심을 확정했다고 14일 밝혔다.

재판부는 "원심 판단에 법률의 양벌규정에 관한 법리를 오해한 위법이 없다"며 상고를 기각했다. 이에 따라 농협은행과 KB국민카드는 벌금 각 1500만원, 롯데카드는 벌금 1000만원이 확정됐다.

농협은행 등 금융기관 3곳은 2012∼2013년 정보관리를 소홀히 해 고객 개인정보가 외부로 유출되게 한 혐의로 재판에 넘겨졌다.

이들은 당시 신용카드 부정사용예방시스템(FDS) 개발을 위해 민간업체 코리아크레딧뷰로(KCB)와 용역계약을 맺었다. KCB 직원이던 박모씨는 이들 업체 정보 관리가 허술한 점을 악용해 다섯 차례에 걸쳐 1억건이 넘는 고객정보를 빼돌렸다.

방법은 아주 단순했다. PC 공유폴더에 고객정보를 저장하거나, 허가받지 않은 휴대용저장장치(USB)에 고객 주민등록번호와 연체금액 등을 담아갔다. 하지만 금융사 3곳 모두 이를 알아차리지 못했다.

이렇게 훔친 정보는 고객 이름과 주민·휴대전화·신용카드 번호, 카드 한도·이용액 등 다양했다. 박씨는 해당 정보를 대출 알선업자에게 넘기고 수천만원도 받아 챙겼다. 그는 신용정보법 위반 등 혐의로 재판에 넘겨져 2014년 6월 창원지방법원에서 징역 3년을 선고받았다.
 

서울 중구 새문안로 농협은행 본사 전경, [아주경제 DB]

용업업체 직원에게 속수무책으로 털린 농협은행 고객정보는 2012년 6월 2197만명, 10월 2235만명에 이른다. KB국민카드도 2013년 2월과 6월 두 차례에 걸쳐 고객 개인정보가 새 나갔다. 유출 건수는 각각 4321만명에 달한다. 롯데카드는 2013년 12월에 1759만명에 해당하는 정보가 고객동의 없이 외부로 유출됐다.

검찰은 금융사들이 개인정보에 대한 접근을 통제하지 않아 발생한 사건으로 보고 2015년 4월 농협은행 등을 개인정보보호법 위반으로 불구속기소 했다.

2016년 7월 열린 1심에서 재판부는 "고객 개인정보가 불법으로 유출되면 보이스피싱·스미싱·대출사기 등 금융범죄 표적이 될 수 있는 위험에 노출된다"며 "피해자가 많게는 수천만명에 이르고 피해정보 건수도 억 단위에 이르는 등 지금까지 발생한 개인정보 유출 사건 중 가장 규모가 크다"고 지적했다.

그러면서 농협은행과 KB국민카드에 벌금 각 1500만원을, 롯데카드에 벌금 1000만원을 선고했다. 당시 개인정보보호법상 최대 형량이다. 2015년 7월 개정 전에 해당 법은 개인정보 처리자가 안전성 확보 조치를 하지 않아 고객 정보가 분실·유출되면 2년 이하 징역 또는 1000만원 이하 벌금형을 내리도록 규정했다. 같은 범행을 2건 저지르면 벌금은 최대 1500만원으로 높아진다.

다만 농협은행 등이 KCB 직원에게 개인정보 보호 교육을 하거나 보안서약서를 제출받지 않은 건 개인정보보호법을 위반이 아니라며 무죄로 봤다.

검사와 무죄를 주장하는 금융회사들이 항소했지만 법원을 받아들이지 않았다. 2심 재판부는 지난 1월 항소 모두를 기각했다. 대법원도 금융사들과 검사 측 상고를 모두 기각하며 원심을 확정했다.
 

서울 종로구 새문안로 롯데카드 본사 전경. [아주경제 DB]