무고한 생명까지 앗아간 수원시의 개인정보유출 사건 수원시 권선구청에서 일했던 공무원 박모씨(41). 그는 1심에서 징역 5년형을 선고받았습니다. 그의 죄는 개인정보 1,101건을 2년 동안 흥신소 업자들에게 3,954만원을 받고 판 데에 있습니다. 흥신소로 흘러들어간 정보는 작년 '이석준 살인사건'에 쓰였습니다. '이석준 살인사건'이란, 이석준이 흥신소에서 전 애인의 집 주소를 받고 그곳을 찾아가 전 애인의 어머니를 살해하고 전 애인의 동생에게 중상을 입힌 사건입니다. 부당이득에 눈이 먼 공무원의 개인정보유출이 무고한 시민의 생명을 빼앗는 결과까지 초래할 수 있다는 것을 보여준 사건이라고 할 수 있습니다. 1,101건이나 유출된 개인정보, 과태료는 고작 360만원? 문제는 여기서 그치지 않습니다. 수원시가 개인정보보호법에 따라 엄연히 1,101건에 해당하는 개인정보유출 피해자들에게 개인정보가 유출되었음을 알려야 했지만, 개인정보 유출 통지는 올해 7월 21일에서야 겨우 이뤄졌습니다. 게다가 수원시가 이 개인정보 유출로 받은 과태료는 고작 360만 원이었습니다. 민간기업에서 개인정보가 유출된 경우, 기업들 역시 개인정보보호위원회로부터 행정처분을 받습니다. 해킹 공격을 받아 639만 건의 개인정보가 유출된 육아쇼핑몰 브랜디의 경우, 과징금 3억 8,900만원의 처분을 받았습니다. LED 제품 판매 쇼핑몰 운영사 에스테크엘이디도 해커가 관리자 계정으로 접속해 스팸문자를 무단 발송하는 일을 겪고 과태료 600만원의 처분을 받았지요. (▶관련 기사) 뒤늦은 개인정보유출통지, 엄연한 국가의 잘못 수원시는 1,101건의 개인정보 유출 사실을 이미 올해 1월 10일 전에 알고 있었습니다. 이 시기는 '이석준 살인사건'을 맡은 동부지방검찰청에서 사건 수사 결과를 공개하기 전입니다. 개인정보보호법에 제34조 제1항에 따르면, 수원시는 법조항에서 말한 '개인정보처리자'로서 개인정보 유출 사실을 지체없이 개인정보 유출 피해자에게 알렸어야 했지요. 개인정보보호법 제34조(개인정보 유출 통지 등) ① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다. 1. 유출된 개인정보의 항목 2. 유출된 시점과 그 경위 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해 구제절차 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 엄연히 법이 이런데도 수원시는 무려 6개월 넘게 '이석준 살인사건' 피해자 외 다른 피해자들에게 개인정보 유출 통지를 하지 않았습니다. 1,100건의 개인정보 유출에 대해 유출 통지가 이뤄진 배경에는 법무법인 미션 변호사들의 끈질긴 민원 제기가 있었는데요. 김성훈 대표 변호사와 유석현 변호사는 민원 제기를 통해 개인정보 유출 통지를 이끌어낸 데에서 나아가, 개인정보 유출 피해자들을 모아 국가배상청구소송을 진행하고 싶다는 뜻을 밝혔습니다. 화난사람들에서 "권선구 공무원 개인정보 유출 국가배상청구" 프로젝트 참여자를 찾고 있는 두 변호사와 인터뷰를 나누고 사건에 대해 좀 더 알아봤습니다. 수원시가 받은 행정처분의 내용 Q. 여태 민간기업이든, 공공기관이든, 개인정보유출 피해를 입혔다면 행정처분을 받았는데요. 수원시가 받은 행정처분을 자세히 설명해주실 수 있을까요? (김성훈 대표 변호사, 유석현 변호사, 이하 김 &유) 개인정보보호위원회는 2022년 6월 22일 개인정보보호법을 위반한 수원시에 과태료 부과와 시정조치를, 국토교통부에는 개선권고를 의결하였습니다. 개인정보위는 개인정보보호법상 위반 사항에 따라 개선권고, 과태료 및 과징금 부과 처분 등을 할 수 있으나, 본 사안은 과징금* 부과 사항에는 해당하지 않았다고 밝혔습니다. *과징금이란? 법규 위반으로 얻어진 경제적 이익을 환수하거나 영업정지처분을 대신하여 금전적 제재를 부과하는 돈 수원시는 개인정보보호법 제18조 제1항(목적 외 이용) 위반, 제29조(안전조치의무) 위반 및 제28조 제1항(개인정보취급자에 대한 감독) 위반 등으로 360만 원의 과태료*를 부과받고, 법 위반사항에 대한 시정조치 및 공표와 함께, 법 위반행위에 대해 책임이 있는 자에 대해 징계할 것을 권고 받았습니다. 다만, 해당 불법 유출 공무원은 올해 3월 31일 이미 파면 조치된 상황이었지요. *과태료란? 행정법상 의무위반에 대한 제재로서 부과·징수되는 돈 행정처분 외에 개인정보 유출 피해자 구제 방법은? Q. 이와 별개로 개인정보 유출 피해를 입은 개인들이 소송을 진행했을 때 배상을 받은 적도 있습니다. 2014년 NH농협카드, KB국민카드, 롯데카드 내부에서 1억건 넘는 개인정보가 유출되는 사고가 발생한 것이 그 예죠. 정보를 빼돌린 범인은 허탈하게도 카드 부정 사용 방지시스템(FDS)을 맡은 외주업체 직원으로 밝혀졌고, 카드사 고객들은 카드3사를 상대로 제기한 민사소송에서 1인당 10만원의 보상금을 받기도 했습니다. 공공기관을 상대로도 이와 비슷한 소송을 제기할 수 있을까요? (김 & 유) 공공기관에도 이와 같은 소송을 제기할 수 있습니다. 개인정보위의 공공기관에 대한 처분과는 별도로, 개인정보 유출 피해자는 조정 및 소송 등 다양한 방법으로 피해를 구제받을 수 있습니다. 개인정보 유출 피해자에게 취해져야 할 조치는? Q. 이번 사건을 계기로 많은 분들이 공공기관에서 자신의 개인정보가 유출되었을 때 실제로 어떤 조치가 취해질지 궁금하실 것 같아요. 법에서 정해놓은 조치는 구체적으로 무엇인가요? (김 & 유) 앞서 언급된 개인정보보호법 제34조 제 1항에 따라 공공기관은 유출에 대한 통지의무를 이행해야 합니다. 이 사건에서 수원시는 개인정보보호법상 공공기관인 지방자치단체로서 자동차 등록, 건설면허 발급 업무를 목적으로 국토교통부 시스템에서 개인정보를 조회·수집 등을 하여 개인정보파일을 생성·관리하는 개인정보처리자였습니다. 개인정보보호법에 따라 개인정보처리자는 모든 개인정보 유출대상자에게 1) 개인정보 유출 항목, 2) 유출 시점과 경위, 3) 2차 피해 방지를 위한 유의사항, 4) 피해 구제절차, 5) 신고 등을 접수할 수 있는 담당부서 및 연락처 등을 포함하여 국민의 피해를 최소화하기 위한 통지를 지체 없이 해야 합니다. 6개월 동안 늑장대응한 수원시, 무슨 일이 있었던 걸까? Q. 두 분을 소개할 때, 두 분이 이 직접 개인정보 유출 통지에 대한 민원을 제기하고 유출 통지를 촉구했다고 밝혔습니다. 어떤 일을 하신 건지 좀 더 자세히 말씀해주세요. (김 & 유) 수원시는 개인정보보호법 조항에도 불구하고, 유출된 1,101명의 피해자 중 오직 1명에게만 유출 사실을 통지했을 뿐, 나머지 1,100건에 대해서는 어떠한 통지도 하지 않았습니다. 수원시와 개인정보위에 유선으로 수차례 문의한 결과, 수사기관으로부터 수사기록을 제공받지 못해 유출 피해자를 정확히 특정할 수 없어서 통지하기 어려운 상황이라는 답변을 받았습니다. (▶관련기사) 언론 보도에 따르면 지난해 국내 대형 종합병원들이 환자의 민감정보를 제약사에게 유출한 사건에서도 대형병원은 피해자를 특정할 수 없다는 이유로 통지의무를 이행하지 않았으나, 개인정보보호위원회의 적극적인 중재로 경찰이 개인을 특정할 수 있을 정도의 수사기록만 제공하여 피해자 모두에게 통지가 이루어진 바 있습니다. 그렇다면 개인정보처리자가 공권력의 주체인 지방자치단체인 이번 사건에서는 개인정보보호위원회와 수원시가 더욱 적극적으로 국민을 보호하기 위해 나섰어야 할 것입니다. 공공기관은 사기업과 달리, 정보주체의 동의가 아닌 법적 근거에 의하여 개인정보를 수집·처리하므로 국민의 개인정보 보호에 더욱 엄정하게 대처하였어야 하기 때문입니다. 저희 법무법인 미션의 문제 제기 및 이어진 언론사의 적극적인 취재 끝에, 수원시는 지난 7월 15일 서울동부지검에서 1,101건의 자료를 제공받아 7월 21일 비로소 개인정보보호법 제34조에 따라 유출된 정보주체에게 그 사실을 개별통지하였습니다. 개인정보 유출 통지, 어떻게 이뤄질까? Q. 현재 권선구 개인정보유출 규모는 1,101건으로 알려졌지만, 이로 인한 피해자가 몇 명이나 되는지는 알 수 없다고 알고 있습니다. 개인정보 유출 여부는 유출통지를 받은 당사자만 알 수 있다고 들었고요. 당사자들이 유출통지를 보통 어떤 식으로 받나요? (김 & 유) 알고 계신 사실이 맞습니다. 개인정보 유출의 규모는 1,101건이나 그로 인한 정확한 피해자의 규모는 아직 공개된 바가 없지요. 이번 사건의 경우 등기우편을 통하여 유출 통지문이 직접 피해자 개개인에게 전달된 것으로 파악됩니다. 등기우편을 통한다고 하더라도, 수원시가 반송된 유출 통지에 대해서 끝까지 책임지고 조치를 취했는지는 확인하기 어려운 실정입니다. 저희 담당 변호사들은 반송이나 주소 불명으로 처리된 유출 통지는 어떻게 처리되고 있는지 수원시에 문의할 생각입니다. 혹시라도 수원시로부터 받은 등기우편을 찾아가라는 안내를 받은 분들이 계신다면, 귀찮으시더라도 꼭 등기우편의 내용을 확인하시기 바랍니다. 이번 개인정보 유출은 수원시민만이 피해자가 아닙니다. 수원시 공무원이 국토교통부망을 이용해 개인정보를 유출한 사건이기 때문에 피해자는 전국 어디든 있을 수 있습니다. 뒤늦은 유출 통지 외 수원시가 위반한 법은? Q. 수원시는 이번 권선구 개인정보유출 사건으로 정보보호법 외에 또 어떤 법을 위반한 것인가요? 또 개인정보유출 피해자들은 어떤 배상을 기대할 수 있나요? (김 & 유) 수원시와 같은 개인정보처리자의 개인정보유출의 경우 명백한 불법행위에 해당합니다. 공무상 비밀누설죄(형법 제127조)를 규정하고 있는 형법이나, 개인정보 제공에 대한 제한을 규정하는 개인정보보호법 자체가 개인정보 유출을 통한 손해를 방지하고자 하는데 그 목적이 있다고 볼 수 있습니다. 형법 제127조(공무상 비밀의 누설) 공무원 또는 공무원이었던 자가 법령에 의한 직무상 비밀을 누설한 때에는 2년 이하의 징역이나 금고 또는 5년 이하의 자격정지에 처한다. 이번 사건과 유사한 대표적인 사건은 '교도소 직원과 경찰관이 심부름 센터를 통해 들어온 부정한 청탁을 받고 주민등록번호, 주소 등의 개인정보를 유출하여 결국 피해자가 사망한 사건'입니다. 해당 사건에서 대법원은 국가배상책임을 인정한 바 있습니다(대법원 2008. 8.21 선고 2006다2346 판결). 주소 등의 개인정보를 유출한 경우 정보를 입수한 측이 주소로 찾아가 피해자에게 손해를 가할 개연성이 충분히 인정되며 주소 등의 개인정보 유출이라는 가해행위와 피해자의 피해 사이에 인과관계가 인정되기 때문입니다. 따라서 이번 개인정보유출 피해자들 역시 실제 어떤 피해가 발생하였는지에 따라 기대할 수 있는 배상의 금액은 달라질 것입니다. 개인정보분쟁조정위원회의 조정의 경우 피해 사실에 따라 달라질 수는 있지만 통상 일반적인 개인정보 유출에 대하여는 10만 원 정도의 손해배상금만을 산정하고 있으므로, 특히 피해가 발생한 사안에 대해서는 반드시 법률적 도움을 받아 국가배상을 제기하는 방법이 필요할 것입니다. 당신의 개인정보 유출 피해, 직접 나서야 합니다 인터뷰를 마치면서 화난사람들 에디터는 두 변호사에게 마지막으로 개인정보 유출 통지를 받은 분들께 당부드리는 말씀을 남겨줄 것을 부탁했습니다. 김성훈 대표 변호사, 유석현 변호사 모두 구체적인 개인정보 유출 일시를 반드시 확인하여, 이번 개인정보 유출로 자신에게 어떤 피해가 발생했는지 자세히 확인하는 것이 중요하다고 신신당부했습니다. 나아가 유출된 정보에 따른 2차 피해를 방지하기 위한 조치도 취할 것을 간곡히 요청했습니다. 이번 개인정보 유출은 수원시라는 지역 정부기관 내부에서 일어난 일인데다가, 수원시의 늑장 대응으로 개인정보 유출통지가 무려 6개월 가량 지체된 심각한 사건이기 때문입니다. 법무법인 미션의 두 변호사는 이 사건의 중요성을 고려하여, 무료로 개인정보 유출 피해자들을 돕는단 방침이니, 개인정보 유출 피해자들이 망설이지 말고 꼭 자신의 권리를 법으로 보호받길 바란다는 마지막 말을 남겼습니다. 수원시로부터 개인정보 유출 피해를 당해서 유출 통지를 받은 사람이라면 누구나 '권선구 개인정보 유출 피해 국가배상소송' 프로젝트에 참여할 수 있습니다. 덧붙이는 글 이 기사는 화난사람들 포스트에도 게재되어 있습니다. '권선구 개인정보유출 국가배상소송'에 참여하고 싶은 분들은 https://prj.angrypeople.co.kr/progress/v/132 여기서 더 자세한 정보를 살펴볼 수 있습니다. #개인정보유출 #국가배상청구 #수원시 #권선구 #이석준살인사건 이 기사는 생나무글입니다 생나무글이란 시민기자가 송고한 글 중에서 정식기사로 채택되지 않은 글입니다. 생나무글에 대한 모든 책임은 글쓴이에게 있습니다.
