법원이 운영하는 ‘판결서 사본 제공 신청 서비스’에서 개인정보 유출 사고가 발생해 논란이 일고 있다. 비실명 처리 과정에서 오류가 발생하면서 주민등록번호와 주소 등 민감한 정보가 외부로 전달된 사실이 확인됐다.

21일 법조계에 따르면 지난 15일부터 16일까지 해당 서비스를 통해 제공된 판결서 일부에서 비식별 처리에 문제가 발생했다. PDF 변환 과정에서 비실명 처리가 완전하게 이뤄지지 않으면서 개인정보가 그대로 노출된 채 신청인에게 전달된 것으로 파악됐다.

유출된 정보는 총 6건의 판결서에 포함된 것으로 조사됐다. 이들 문서에는 이름 21명, 주민등록번호 4건, 주소와 등록기준지 각 4건이 담긴 것으로 확인됐다.

통상 판결서 사본은 개인정보를 삭제한 뒤 제공되지만, 이번에는 시스템 오류로 인해 신청인에게 그대로 전달됐다.

현행 민사소송법 제163조의2와 형사소송법 제59조의3에 따르면 법원은 판결서 열람·복사 제공 전 성명 등 개인정보가 공개되지 않도록 보호조치를 해야 한다. 해당 조치를 이행한 공무원은 고의 또는 중대한 과실이 없는 경우 민·형사상 책임을 지지 않는다.

또 대법원 규칙인 ‘재판기록 열람·복사 규칙’은 비실명 처리 의무와 함께 신청인이 이를 훼손하거나 부정한 방법으로 개인정보를 취득하는 행위를 금지하고 있다.

개인정보 유출이 발생할 경우 개인정보보호법상 제재도 적용될 수 있다.

개인정보보호법 제29조는 개인정보처리자에게 기술적·관리적·물리적 안전조치 의무를 부과하고 있으며, 이를 위반해 정보가 유출될 경우 과징금 부과 대상이 된다.

또 같은 법 제75조는 안전조치 미이행, 유출 통지 의무 위반 등에 대해 과태료를 규정하고 있다. 아울러 제59조와 제71조는 동의 없는 제공, 목적 외 이용, 업무상 알게 된 개인정보 누설 등 행위에 대해 형사처벌을 규정하고 있다.

다만 이번 사례처럼 시스템 오류로 인한 유출의 경우 곧바로 형사처벌로 이어지지는 않을 가능성이 크다. 고의적인 누설이나 권한 없는 제공이 있었는지가 주요 판단 기준이 되기 때문이다.

유사 판례에서도 이러한 기준은 확인된다. 울산지방법원은 공무원이 감염병 관련 개인정보를 외부에 전송한 사건에서 공무상비밀누설 및 개인정보보호법 위반을 인정해 유죄를 선고했다. 당시 재판부는 비밀을 제3자에게 전달하는 행위 전반을 ‘누설’로 판단했다.

반면 서울중앙지방법원은 카드사 정보유출 사건에서 접근통제, 암호화, 저장매체 관리 등 안전조치 의무 위반 여부와 유출 사이의 인과관계를 중심으로 책임을 판단했다.

민사상 책임은 별도로 문제 될 수 있다. 개인정보보호법 제39조에 따르면 개인정보처리자가 법 위반으로 손해를 발생시킨 경우 배상 책임을 진다.

고의나 과실이 없음을 입증하지 못하면 책임을 면하기 어렵다. 일정 요건에서는 최대 300만원의 법정손해배상도 인정된다.

법조계에서는 이번 사고와 관련해 형사책임보다는 안전조치 의무 위반 여부와 관리 체계의 적정성이 쟁점이 될 가능성이 크다는 분석이 나온다.

법무법인 민 박세희 변호사는 “담당 공무원의 고의나 중대한 과실 여부와 함께 시스템 설계와 통제 절차가 적정하게 운영됐는지가 판단 기준이 될 것”이라고 말했다.