세계일보

SK그룹 채용 응시자 1600여명의 이름과 생년월일 등의 개인정보가 외부로 노출되는 사고가 발생했다. SK그룹은 즉각 사과했지만, 응시자들과 취업준비생들은 “대기업에서 이런 일이 발생하다니 어이없다”며 사과만으로는 부족하다는 반응이다. 법조계에선 개인정보 유출에 대한 SK 측 과실이 확인될 경우, 피해 응시자들이 손해배상 청구를 할 수 있다고 보고 있다. 

◆지원자 성명·생년월일·성별 등 유출…이메일 주소·휴대폰 번호는 미포함

10일 SK에 따르면, SK그룹 채용 시험인 ‘SKCT’(SK종합역량검사)를 운영하는 외부 평가기관의 관리자 사이트 내 일부 페이지가 최근 검색사이트를 통해 노출됐다. SK는 이 같은 사실을 지난 4일 외부 신고를 통해 인지하고, 즉시 해당 페이지의 외부 접속을 차단하고 서버 및 DB 접근 제한 등의 조치를 취했다.

하지만 SK 자체 조사 결과 지원자 1600여명의 개인정보가 이미 외부로 노출된 것으로 나타났다. SK는 이 중 1300여명의 개인정보는 신고자가 신고 과정에서 확인한 것으로 외부 유출은 없으나, 나머지 300여명의 개인정보는 제3자에게까지 유출된 것으로 보고 있다. 정확히 몇 명에게 유출됐는지 등에 대해선 정부 조사가 진행 중이다.

이번에 노출된 개인정보는 △지원자의 성명 △생년월일 △성별 △수험번호 △SKCT 영역별 결과 △응시일시 △지원회사 등 총 7개 항목이다. SK는 휴대전화 번호나 이메일 주소는 포함돼 있지 않다고 밝혔다.

◆개인정보보호법, “개인정보 유출 피해 시 손해배상 청구 가능” 규정

변호사들은 이번 유출로 피해를 본 지원자들이 개인정보보호법에 따라 손해배상을 청구할 수 있다고 설명했다. 

김경태 변호사(법률사무소 태희)는 “성명과 성별, 생년월일이 나와 있기 때문에 대략적으로 누구인지 특정이 가능할 것”이라면서 “(손해배상 청구 시) 위자료가 나올 것 같다”고 판단했다. 김 변호사는 “유출된 정보만으로 특정 개인을 알아볼 수 없다고 하더라도, 다른 정보와 쉽게 결합해 알아볼 수 있는 정보가 유출됐으면 그것도 개인정보 유출이라고 볼 수 있다”고 설명했다.

김경환 변호사(법무법인 민후)도 “(SK 측에) 과실이 있다면, 관리 부실로 해서 손해배상을 해야 하지 않을까 싶다”고 했다. 

개인정보보호법 제39조 제3항은 ‘개인정보처리자의 고의 또는 중대한 과실로 인해 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우로서, 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다’고 규정한다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우는 제외된다.

개인정보 유출로 인한 손해를 입증하기 어렵더라도, 손해배상을 청구하는 건 가능하다. 개인정보보호법 제39조의2는 ‘정보주체는 개인정보처리자의 고의 또는 과실로 인해 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다’고 규정한다. 개인정보처리자가 고의 또는 과실이 없음을 입증하지 못할 경우, 이에 따른 책임을 면하기 어렵다.

◆법원, 피해 규모·기업의 개인정보 회수 노력 등 고려해 배상액 산정

개인정보가 제3자에게까지 유출된 300여명의 지원자뿐만 아니라, 그 외의 1300여명도 손해배상 청구가 가능할 것으로 법조계는 내다봤다. 김경환 변호사는 “손해배상액이 좀 다를 수는 있는데, 둘 다 유출은 맞는 것 같다”고 말했다.

김경태 변호사는 “외부에서 누군가가 (개인정보를) 확인할 수 있었던 것 자체만으로도 불법 행위”라며 “누가 열람을 했는지 여부와 무관하게 이미 자료가 인터넷에 공개됐기 때문에 유출된 것으로 보아야 할 것이므로, 불법 행위가 인정될 것 같다”고 했다. 이어 “(위자료 액수는) SK 측에서 얼마나 빨리 개인정보 유출에 대처했는지가 고려될 것”이라고 관측했다. 

법원은 개인정보 유출에 따른 배상액을 정할 때 △고의 또는 손해 발생의 우려를 인식한 정도 △위반행위로 인해 입은 피해 규모 △개인정보처리자가 정보주체의 개인정보 분실·도난·유출 후 해당 개인정보를 회수하기 위해 노력한 정도 등을 고려한다.

앞서 2008년 서울고법은 A기업 응시자의 자기소개서, 경력·인턴 사항 등이 외부로 유출된 사건에서 A기업이 충분한 보안조치를 취하지 않았다고 보고, 제3자로부터 해당 등록정보를 열람당한 31명에게 30만원씩 지급하라고 판결했다. 

당시 재판부는 “원고들이 이 사건 사고로 인해 자신들이 입사지원의 목적으로 제공한 개인정보가 불특정 다수인들에 의해 열람당함으로써 정신적 고통을 받았을 것임은 경험칙상 쉽게 인정할 수 있다”며 “피고는 불법 행위책임으로서 위 원고들의 정신적 고통을 금전으로나마 위자할 의무가 있다”고 판시했다. 다만, 등록정보를 제3자에게 열람당한 31명 이외의 타 지원자들이 청구한 손해배상에 대해선 “금전으로 위자할 만한 정신적 손해가 발생했다고 보기 어렵다”며 기각했다. 

◆법조계 “SK에도 외부 평가기관 관리·감독 책임 존재”…SK, 상담 창구 운영 

SK그룹이 아닌 외부 평가기관 사이트에서 유출된 것이지만, SK에게도 관리·감독의 책임이 있다. 김경태 변호사는 “공동 불법 행위 성립이 가능하다고 본다”면서 “법적으로 고용한 관계가 아니라고 하더라도, 적어도 SK 측에서 이들이 업무를 잘하고 있는지 관리·감독할 의무는 있다. 이에 대해 부주의했기 때문에 공동불법행위에 따른 손해배상책임을 부담할 수 있다”고 말했다. 

한편, SK는 전날 오전 SK 채용사이트에 사과문을 게재하고, 한국인터넷진흥원(KISA)에 개인정보 유출 사실을 신고했다. 개인정보가 노출된 지원자들에게는 문자메시지와 이메일을 통해 해당 사실을 공지했다. SK는 피해 의심 사항 등의 문의에 대한 별도 상담 창구도 운영하고 있다.

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]