롯데카드 해킹 사고로 개인정보가 유출된 피해자들이 집단소송에 나서면서 금융회사의 개인정보 보호 책임 범위를 둘러싼 법적 판단에 관심이 쏠리고 있다.

23일 피해자들이 모인 네이버 카페에 따르면 소송 수행 대리인으로 법무법인 도울이 최종 선정되면서 본격적인 소송 절차에 돌입했다.

카페 운영진은 “롯데카드의 법적 책임을 묻고 위자료 지급과 재발 방지 대책을 촉구하기 위한 것”이라며 “소송 기간은 약 1~2년 정도 소요될 것”이라고 밝혔다.

법무법인 도울은 개인정보만 유출된 경우 1인당 30만원, 신용카드번호 등 금융정보까지 유출된 경우 50만원을 청구할 방침이다. 소송 참가비는 1인당 2만원으로 1심 착수금과 부가세, 인지대, 송달료 등이 포함된다. 승소 시 성공보수는 9%로 책정됐다.

현재까지 카페를 통해 참여 의사를 밝힌 피해자는 약 170명이다.

이번 소송은 다수 피해자가 함께 손해배상을 청구하는 민법상 공동소송 형태로 진행된다. 민법은 고의 또는 과실로 타인에게 손해를 입힌 경우 손해배상 책임을 인정하고 있어, 롯데카드의 개인정보 보호 의무 위반 여부가 주요 쟁점이 될 전망이다.

한편 개인정보보호법은 단체소송 제도를 두고 있지만 이는 침해 행위의 금지나 중지를 목적으로 한다. 이번 사건처럼 금전적 배상을 청구하는 경우에는 적용되지 않는다.

개인정보 유출 사건에서는 기업의 관리·감독 책임 인정 여부가 판결을 좌우하는 경우가 많다.

2024년 서울고등법원은 내부 전산망 관리 소홀로 개인정보가 유출돼 2차 범죄로 이어진 사건에서 기업의 보호 의무 위반을 인정하고 유족에게 위자료 지급을 명령했다.

또 2023년 인천지방법원은 개인정보를 마스킹 처리하지 않고 제출한 사건에서 1인당 20만원의 위자료를 인정했다.

반면 2023년 서울중앙지방법원은 가상자산 거래소 해킹 사건에서 사업자가 기술적·관리적 보호조치를 다했다고 보고 손해배상 책임을 인정하지 않았다.

배상 여부와 금액은 유출된 정보의 민감성, 유출 경위, 2차 피해 발생 여부, 기업의 사후 대응 등을 종합적으로 고려해 결정된다.

따라서 이번 소송에서도 롯데카드가 해킹을 방지하기 위한 기술적·관리적 보호조치를 충분히 이행했는지가 핵심 쟁점이 될 전망이다.

피해자 측은 관리 소홀을 근거로 과실을 주장할 것으로 보이며, 롯데카드는 해킹이 불가항력적이었고 필요한 조치를 모두 취했다는 점을 강조할 것으로 예상된다.

법조계에서는 대규모 개인정보 유출 사건의 경우 통상 1인당 10만~30만원 수준의 위자료가 인정되는 경우가 많다고 보고 있다.

이에 따라 이번 소송에서 청구된 30만~50만원이 법원에서 어느 수준까지 인정될지에도 관심이 모인다.

법무법인 도울 관계자는 “이번 사고로 피해자들이 입은 손해를 금전적으로 보상받을 수 있도록 최선을 다하겠다”며 “재발 방지 대책 마련까지 이끌어내는 것이 목표”라고 밝혔다.