카드사 정보유출사건의 신용정보회사에 대한 금융위원회의 영업정지처분은 적법하다는 판단을 이끌어낸 사례

(서울행정법원 2015. 12. 24. 선고 2015구합58508 판결)

1. 사건의 개요

2014년 카드 3사에서 개인정보 약 1억 4백만 건이 유출되는 사상 최대의 개인정보 유출 사건이 발생했습니다. 카드 3사의 부정사용방지시스템(내부 전산 시스템의 한 종류로 'FDS'라고도 한다) 개선 용역 작업을 담당하던 신용정보업체 ‘코리아크레딧뷰로(KCB)'의 직원 박모씨가 카드사의 전산망에 접근하여 개인정보 데이터를 획득하였고, 이를 자신의 USB에 저장, 유출하여 대출광고업자에게 넘기면서 개인정보 유출이 확대되었습니다. 이에 금융위원회에서는 KCB에 대해 업무정지명령 3개월의 제제조치를 내렸고, 이에 KCB는 이 사건 처분의 취소를 구하는 행정소송을 제기하였습니다.

2. 판결 내용

- 신용정보법 제42조 제1항은, 신용정보회사 등과 신용정보의 처리를 위탁받은 자의 임직원이거나 임직원이었던 자는 업무상 알게 된 타인의 신용정보 및 사생활 등 개인적 비밀을 업무 목적 외에 누설하거나 이를 이용하여서는 아니된다고 규정하고 있는데, KCB는 소속 직원의 신용정보법 제42조 제1항 위반행위를 방지하지 못한 책임을 져야 하고, KCB에게 그 의무 해태(어떤 법률 행위를 할 기일을 이유 없이 넘겨 책임을 다하지 아니하는 일)를 탓할 수 없는 정당한 사유가 있다고 보기도 어렵습니다.

- KCB 직원의 행위로 인하여 고객정보 수천 만 건이 유출됨으로써 공익을 심각하게 해친 경우에 해당하지만, 금융위원회는 이 사건이 KCB의 주된 업무에서 발생한 것이 아니라 외부용역수행과정에서 발생하였다는 점 등 여러 사정을 고려하여 업무의 일부만을 정지하도록 하였고, 정지된 업무는 원고의 주된 업무가 아니어서 원고에게 가혹한 결과가 발생한다고 보기도 어렵습니다.

- 따라서 금융위원회의 KCB에 대한 업무정지명령 3개월의 제제조치는 적법합니다.

3. 판결의 의미

2014년 최대 법률 이슈 중 하나였던 카드사 정보유출과 관련하여 카드사뿐만 아니라 이 사건 정보유출의 주범의 사용자인 신용정보회사도 행정제재의 대상이 된다는 점을 분명히 한 의미 있는 판결이라 할 것입니다. 신용정보회사는 고객정보 유출이 자신의 직원이 파견나간 카드사들의 신용정보전산시스템에서 발생한 것이기 때문에 카드사들이 책임지는 것은 당연하지만 자신들은 그에 대해 책임이 없다고 주장하였으나 이러한 주장은 받아들여지지 않았습니다.

현재 법무법인(유한) 바른은 개인정보 유출사건과 관련하여 카드사들에 대한 손해배상소송을 진행 중에 있습니다. 이 사건 판결은 카드사들에 대한 손해배상 판결에도 어느 정도 영향을 미칠 것으로 판단됩니다.