롯데카드 해킹 사고로 개인정보가 유출된 피해자들이 집단소송에 나섰다. 법무법인을 선정하고 본격적인 절차에 돌입하면서, 소송 결과에 금융권 전체의 책임 범위가 영향을 받을 가능성이 제기된다.

23일 피해자들이 모인 네이버 카페 ‘롯데카드 개인정보유출 집단소송카페’에 따르면, 소송 수행 법무법인으로 도울이 최종 선정됐다. 카페 운영진은 “롯데카드의 법적 책임을 묻고 위자료 지급과 재발 방지 대책을 촉구하기 위한 것”이라며 “소송 기간은 약 1~2년 정도 소요될 것”이라고 밝혔다.

도울은 개인정보만 유출된 경우 1인당 30만 원, 신용카드번호 등 금융정보까지 유출된 경우 50만 원을 청구할 방침이다. 소송 참가비는 1인당 2만 원으로, 1심 착수금과 부가세, 인지대, 송달료 등이 포함된다. 승소 시 성공보수는 9%가 책정됐다. 현재까지 카페를 통해 참여 의사를 밝힌 피해자는 약 170명에 이른다.

전문가들은 이번 소송의 성격을 ‘공동 손해배상 청구 소송’으로 본다. 민법 제750조(불법행위 책임)는 “고의 또는 과실로 타인에게 손해를 가한 자는 배상 책임이 있다”고 규정한다. 즉, 롯데카드가 개인정보 보호 의무를 다하지 못한 과실이 인정된다면 피해자들의 정신적 손해에 대한 위자료 지급 책임이 발생한다.

한편 개인정보보호법 제51조는 단체소송 제도를 두고 있으나, 이는 침해 행위의 금지·중지를 목적으로 하는 제도다. 따라서 이번처럼 금전적 배상을 청구하는 형태는 개인정보보호법상의 단체소송이 아니라 다수의 피해자가 원고로 참여하는 민법상 공동소송에 해당한다.

법원은 개인정보 유출 사건에서 피해 규모, 정보의 민감성, 추가 피해 가능성 등을 종합 고려해 위자료 액수를 정한다.

2024년 서울고법은 내부 전산망 관리 소홀로 개인정보가 악용돼 살인 사건으로 이어진 사안에서, 회사의 개인정보 보호의무 위반을 인정하고 망인 유족에게 1천만 원 위자료를 지급하라고 판결했다. 2023년 인천지법은 변호사가 고소장에 개인정보를 마스킹 처리하지 않고 제출한 행위에 대해 1인당 20만 원의 위자료를 인정했다.

반면 2023년 서울중앙지법은 가상자산 거래소 해킹 사건에서 사업자가 기술적·관리적 보호조치를 다했다고 인정해 손해배상 책임을 부정한 사례도 있다. 이처럼 배상액은 유출된 개인정보의 종류(예: 금융정보 포함 여부), 유출 경위, 2차 범죄 이용 여부, 기업의 사후 대응 등에 따라 달라질 수 있다.

이번 소송은 롯데카드가 개인정보 보호를 위한 관리·기술적 조치를 충분히 했는지를 입증할 수 있는지 여부에 달려 있다. 피해자 측은 관리 소홀을 근거로 과실을 주장할 것으로 보이며, 롯데카드는 해킹이 불가항력적이었고 법적 의무를 다했다는 점을 항변할 것으로 예상된다.

법조계 관계자는 “대규모 유출 사고에서는 법원이 피해자 1인당 10만~30만 원 정도의 위자료를 인정하는 경우가 많다”며 “이번에 청구된 30만~50만 원은 다소 높은 수준이지만, 신용카드번호 등 민감 정보가 포함됐다는 점을 감안한 전략으로 보인다”고 말했다.

법무법인 도울은 과거 SK텔레콤 개인정보 유출 사건에서도 대규모 손해배상 소송을 맡은 경험이 있다. 도울 측은 “이번 사고로 피해자들이 입은 크나큰 손해를 금전적으로나마 보상받을 수 있도록 최선을 다하겠다”며 “더불어 재발 방지책 마련을 법원 판결로 이끌어내는 것이 목표”라고 강조했다.