[한스경제=조성진 기자] 1억건 이상의 고객정보 유출 사건을 겪은 농협·KB국민·롯데카드에 대해 벌금형이 확정됐다.

대법원 2부는 14일 개인정보보호법 위반 혐의로 기소된 농협은행·KB국민카드·롯데카드의 상고심에서 유죄로 판결한 원심을 확정했다고 밝혔다. 농협은행과 국민카드는 각각 벌금 1500만원, 롯데카드는 벌금 1000만원을 확정했다.

1심 재판부는 "개인정보 유출 범죄는 그 자체로도 피해자들에게 큰 정신적 고통을 줄 뿐 아니라 2차 피해가 일어날 우려도 있는 중대하고 심각한 범죄"라고 지적했다.

3사는 무죄를 주장하며 항소했지만 2심 재판부는 "카드사들이 USB메모리 반·출입 통제, 안전성 확보조치의무, 암호화조치 를 불이행한 사실이 모두 인정된다"며 "원심의 형은 유죄로 인정된 죄의 법률상 처단형의 상한에 해당한다"며 피고인과 검사의 항소를 모두 기각했다.

3사는 2012∼2013년 신용카드 부정사용예방시스템(FDS) 개발 과정에서 용역업체 직원이 고객정보를 마음대로 빼가도록 업무 관리를 소홀히 한 혐의로 재판을 받아왔다. 유출된 정보는 이름과 주민·휴대전화·신용카드 번호, 카드 한도·이용액 등이다.

이상금융거래탐지시스템(FDS) 용역업체 코리아크레딧뷰로(KCB) 직원 A 씨는 아무런 관리·감독도 받지 않고 이동식저장장치(USB) 등을 이용해 수시로 카드사 고객의 개인정보를 빼낸 것으로 알려졌다. A 씨는 빼돌린 개인정보를 대출 알선업자에게 넘기고 그 대가로 수천만원을 챙긴 것으로 조사됐다. 박씨는 이 혐의로 2014년6월 징역 3년을 선고받았다.

이 사건으로 농협은행은 2012년 6월 2197만명, 10월 2235만명 고객 정보가 유출됐다. 국민카드는 2013년 2월과 6월 각각 4321만명, 롯데카드는 2013년 12월 1759만명의 정보가 유출됐다.

검찰은 3사에 정보통신망법 위반, 신용정보법 위반 혐의도 적용했다. 하지만 재판부는 "A 씨가 카드사들을 위해 업무를 수행하던 자에 해당하지 않는다"고 판단하고 유죄로 인정하지 않았다.

서울서부지법 민사합의12부는 2018년9월 정보유출 피해를 본 농협카드 고객 7831명이 농협은행과 KCB를 상대로 낸 손해배상청구 소송에서 "피고는 원고에게 1인당 각 10만원을 배상하라"고 선고했다.

KB국민카드 고객 역시 KB국민카드와 KCB를 상대로 낸 손해배상 청구소송 상고심에서 대법원 1부는 "피고는 공동으로 원고에게 1인당 각 10만원을 배상하라"고 지난해 8월 판결했다.

신용카드의 개인정보 유출 사건 논란은 현재까지 이어지고 있다. 서울지방청 보안수사대는 현금자동입출금기(ATM)와 포스(POS)단말기 등을 해킹한 혐의로 구속된 B 씨의 추가 범행을 수사하는 과정에서 1.5테라바이트(TB) 분량의 외장하드를 압수했다. 이 외장하드에는 60만건 이상의 신용카드·은행 고객 개인정보가 있었다. 이에 금융감독원과 여신금융협회는 6월 중순부터 서울지방경찰청과 수사공조를 했다.

금융감독원은 7월3일, 1.5TB 용량의 외장하드에서 고객 금융정보 등이 유출된 사건과 관련해 '경찰청으로부터 제공받은 카드번호 중 중복, 유효기간 경과, 소비자 보호조치 완료 등을 제외한 유효카드 수는 61만7000건으로 확인했다'며 '특별한 이상징후는 없다'고 밝혔다.

금융감독원에 따르면 유출된 카드번호와 관련한 금융사는 국민·신한·우리·하나·BC·삼성·현대·롯데카드 등 8개 카드사와 농협·씨티·전북·광주·수협·제주은행 등 6개 은행사로, 카드 사용 관련 이상징후 감지시 소비자의 휴대폰으로 전화 또는 문자를 발송하고 카드결제 승인차단 조치를 시행 중인 것으로 알려졌다.

금융감독원은 이 사건에 대해 카드번호, 유효기간만 도난된 경우 제3자의 부정 사용 가능성은 거의 없으나 혹시 발생할 수 있는 사고를 사전예방하는 차원에서 카드교체 발급 및 해외거래 정지 등록 등을 카드사에 권고했다. 또한 판매정보시스템(POS)을 통한 해킹위험에 대해서는 2018년7월 직접회로(IC)방식으로 전환 이후 정보보안 수준이 크게 강화했다고 덧붙였다.

조성진 기자 seongjin.cho@sporbiz.co.kr