'따릉이' 개인정보 유출, 공단은 2년 전에 알았다… 은폐가 불러올 법적 후폭풍은
'따릉이' 개인정보 유출, 공단은 2년 전에 알았다… 은폐가 불러올 법적 후폭풍은
법조계 "2년 방치는 중대 과실"
담당자 형사 처벌·서울시 연대 책임까지
개인정보보호위원회는 서울시 공공자전거 '따릉이' 회원정보 450만건 이상이 유출된 것과 관련해 서울시설공단으로부터 유출 신고를 접수했다고 지난달 30일 밝혔다. 사진은 1일 서울 영등포구 한 도로에 있는 따릉이 모습. /연합뉴스
서울 시민의 이동수단 '따릉이'가 450만 회원의 개인정보를 싣고 아슬아슬한 질주를 해왔던 것으로 드러났다. 충격적인 사실은 서울시설공단이 이미 2년 전, 회원 정보가 해커 손에 넘어간 사실을 알고도 이를 숨겼다는 점이다.
6일 서울시는 브리핑을 통해 "서울시설공단이 2024년 6월 따릉이 앱 해킹 당시 개인정보 유출 사실을 확인하고도 아무런 조처를 하지 않았다"고 시인했다.
당시 서버 관리업체인 KT는 "개인정보가 유출됐다"는 보고서까지 공단에 보냈지만, 공단은 이를 묵살했다. 회원들에게 알리지도, 관계기관에 신고하지도 않았다. 그 사이 시민들의 소중한 개인정보는 2년 가까이 무방비 상태로 방치됐다.
2년의 침묵, 그 대가는 혹독할 것
개인정보 보호법은 유출 사실을 알게 된 즉시(늦어도 72시간 이내) 정보주체에게 알리고 신고하도록 규정하고 있다. 이를 어길 경우 최대 6천만 원의 과태료가 부과된다. 하지만 법조계에서는 이번 사태가 단순 과태료 처분으로 끝나지 않을 것이라고 경고했다.
전문가들은 "2년이라는 장기간 방치는 피해 확산 방지 의무를 명백히 위반한 것"이라며 "개인정보보호위원회가 중대 과실로 판단할 경우, 매출액에 기반한 막대한 과징금을 부과할 수 있다"고 지적했다.
또한, 유출된 정보를 악용한 2차 피해가 확인될 경우, 공단의 책임은 눈덩이처럼 불어날 수 있다.
보고 누락은 실수?... 담당자 형사 처벌 가능성도
단순 실수가 아니라 고의적 은폐였다면, 담당자는 형사 처벌을 피하기 어려울 수 있다. 개인정보 보호법은 정보 유출 행위 자체를 처벌하지만, 신고 의무 위반만으로는 형사 처벌이 어렵다.
하지만 법조계 일각에서는 "공단 담당자가 법적 의무를 알면서도 고의로 이행하지 않았다면 '직무유기죄'나 '업무상 배임죄' 적용을 검토해볼 수 있다"는 의견이 나온다.
특히 공단이 입게 될 과태료나 과징금, 손해배상액 등을 고려할 때, 담당자의 업무상 배임 혐의가 성립할 가능성도 배제할 수 없다.
450만 회원 집단소송... 배상액 수천억 원대 이를 수도
450만 명에 달하는 따릉이 회원들이 집단소송에 나설 경우, 배상 규모는 천문학적인 수준이 될 수 있다. 법원은 통상 대규모 개인정보 유출 사건에서 1인당 10만 원 안팎의 위자료를 인정해왔다. 이를 단순 대입하면 총 배상액은 4,500억 원에 달한다.
게다가 이번 사건은 '2년 방치'라는 악의적인 정황이 뚜렷해 징벌적 손해배상이 적용될 가능성이 높다. 법원이 공단의 중대한 과실을 인정해 손해액의 최대 3배까지 배상 책임을 물을 경우, 총 배상액은 조 단위까지 치솟을 수 있다는 분석도 나온다.
서울시 vs 공단, 책임 떠넘기기 통할까?
서울시는 "공단이 보고하지 않아 몰랐다"며 선을 긋고 있다. 하지만 법적으로 서울시는 책임을 피하기 어렵다. 개인정보 보호법상 위탁자(서울시)는 수탁자(공단)를 교육하고 감독할 의무가 있기 때문이다.
법률 전문가들은 "서울시와 공단은 공동불법행위자로서 연대하여 손해배상 책임을 질 가능성이 높다"고 본다.
다만 내부적으로 책임 비율을 따질 때는 직접적인 원인을 제공하고 은폐한 공단의 책임이 70~80% 이상으로 더 클 것이라는 게 중론이다. 하지만 서울시 역시 관리 감독 소홀에 대한 책임을 면하기는 어려워 보인다.
