3만여건에 이르는 고객 개인정보가 유출되게 한 혐의로 재판에 넘겨진 하나투어가 벌금형을 확정받았다.

대법원 3부(주심 이흥구 대법관)는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 기소된 하나투어 등의 상고심에서 각각 벌금 1000만원을 선고한 원심을 확정했다고 21일 밝혔다.

A씨는 지난 2017년 9월 개인정보의 유출을 막기 위한 조치를 하지 않은 혐의로 재판에 넘겨졌다.

당시 A씨는 하나투어에서 정보보호 업무 최고책임자로 근무했는데, 회사에는 데이터베이스 운영과 관리를 담당하는 용역업체 직원이 있었다.

해당 용역업체 직원은 회사 밖에서 자신의 노트북을 이용해 데이터베이스에 접근해야 했는데, A씨는 원격접속에 필요한 계정과 비밀번호를 개인 노트북 바탕화면에 있는 메모프로그램에 저장하도록 방치한 혐의가 있다.

이러한 외부접속 시스템을 이용하려면 계정과 비밀번호 외에 보안토큰 등 추가 인증수단이 필요했지만 A씨는 이를 구비하지 않은 혐의도 받는다.

이로 인해 성명불상의 인물이 2017년 9월 악성프로그램을 이용해 용역업체 직원의 개인 노트북에 접속, 계정과 비밀번호를 이용해 하나투어의 고객 개인정보가 보관된 데이터베이스에 침입한 것으로 조사됐다. 그 결과 하나투어 고객들의 이메일, 성별, 전화번호, 주소, 여권번호 등이 담긴 3만4357건의 개인정보가 유출됐다.

1심은 유출된 개인정보의 규모와 경위 등을 고려해 각각 하나투어와 A씨에게 벌금 1000만원을 선고했다.

2심도 "이 사건 범죄는 정보통신서비스 제공자의 관리소홀 등으로 개인정보가 유출된 것"이라며 "유출된 개인정보의 내용이 다른 범죄에 사용될 가능성이 높고 규모도 커 사회적 폐해가 상당하다"고 판단했다.

이어 "다만 하나투어와 용역계약을 체결한 직원이 ID와 비밀번호 등을 컴퓨터에 저장한 행위가 개인정보 유출에 큰 원인으로 작용했다"면서 "하나투어는 개인정보 유출로 인한 2차 피해가 발생하지 않도록 노력했다"며 1심 판단을 유지했다.