法 “‘여기어때’ 개인정보 유출 피해 고객에 인당 최대 40만원 배상하라”

“‘기본적 보호조치’만 해놨어도 막을 수 있었는데 사측이 소홀히 했다” 취지의 판결 / 정보 유출 피해 증명 못한 일부 청구는 기각·각하

숙박 예약 서비스인 ‘여기어때’의 운영사가 개인정보 유출 피해를 본 고객들에게 1인당 최대 40만원을 배상하라는 법원 판단이 나왔다.

30일 법조계에 따르면 서울중앙지법 민사합의21부(강민성 부장판사)는 '여기어때' 이용자 312명이 여기어때 컴퍼니를 상대로 낸 손해배상 소송을 전날 원고 일부 승소로 판결했다.

재판부는 피해 정도에 따라 1인당 5만원∼40만원의 배상액을 정했다. 정보 유출 피해를 증명하지 못한 12명의 청구는 기각 또는 각하했다.

재판부는 여기어때 측이 개인정보 처리 시스템 서버에 기술적 보호조치를 다하지 못한 책임이 있다고 판단했다. 여기어때가 당한 해킹 공격은 '기본적 보호조치'만 해놨어도 막을 수 있었는데, 회사가 이를 소홀히 했다는 취지다.

그러면서 "숙박 예약정보는 이용자 개인의 사생활과 관련된 상당히 내밀한 정보"라며 개인 정보 유출로 이용자들이 적지 않은 피해를 봤다고 지적했다.

여기어때는 2017년 3월 해킹을 당해 이용자 97만여 명의 예약내역과 개인정보 등이 유출됐다. 유출 정보에는 객실명과 예약일, 입·퇴실 시간과 전화번호도 포함됐다.

해커들은 이들 정보로 이용자들에게 협박·음란 문자 4천여 건을 발송하고, 소셜미디어(SNS)에 개인정보 5천 건을 게시하기도 했다.

이에 이용자들은 피해 정도에 따라 1인당 100만원∼300만원을 청구하는 집단소송을 제기했다.

여기어때 컴퍼니와 전 부대표는 개인정보보호법 위반 혐의로 올해 1월 1심에서 각각 벌금 2천만원을 선고받았다. 이들의 항소심 결과는 다음 달 7일 나온다.

김현주 기자 hjk@segye.com

세계일보