로또 발행 동행복권 해킹으로 인한 개인정보유출 사고 보상 알아보기

지난 2023년 11월 5일, 로또를 비롯한 복권들을 발행중인 동행복권의 홈페이지가 해킹되었고 회원들의 개인정보가 유출되는 사고가 발생했습니다. 이번 개인정보유출로 인해 회원들의 이름, 생년월일, 전화번호를 포함한 민감한 정보가 노출되었을 가능성이 있다고 밝혀졌으며, 이에 따라 피해자 사이에서는 보상 여부에 대한 의문과 함께 소송 필요성에 대한 논의도 이루어지고 있습니다.

 

동행복권 해킹 현재 상황

앞서 말했듯 동행복권 홈페이지의 해킹 자체는 2023년 11월 5일에 발생했으며, 이후 11월 6일에 피해자들을 대상으로 안내 문자가 발송되면서 수많은 피해자들이 피해 사실을 인지한 상태입니다.

 

현재 동행복권 홈페이지의 공지사항에는 이번 해킹 공격에 대한 안내문이 게시되어 있으며, 아래와 같이 사고 경위와 함께 현재 진행상황에 대한 내용이 함께 안내되어 있습니다.

출처:동행복권 홈페이지, 공지사항

공지에 따르면 현재 동행복권은 KISA(Korea Internet Security Agency, 한국인터넷진흥원)으로부터 이번 개인정보유출 사고에 대한 조사를 받는 중이며, 모든 조사가 완료된 뒤에 상세한 결과를 발표할 예정입니다. 결론적으로 해당 공지에서는 이번 개인정보유출 사고 경위를 비롯한 공개 가능한 정보에 대해서만 발표되었고, 구체적인 내용은 아직 공개하지 않았습니다.

동행복권 해킹 보상

그렇다면, 동행복권에서는 이번 사건에 대해 어떤 보상을 하게 될까요? 결론을 먼저 이야기하자면 이번 개인정보 유출 사고 보상은 아직 공식적으로 발표된 바 없으나, 피해자들에게 별도의 보상은 없을 가능성이 높습니다. 왜 그렇게 예상되는지 이유를 살펴보겠습니다.

 

이번 동행복권 개인정보유출 해킹 사건과 그 피해보상에 관련된 법률로는 개인정보 보호법이 있습니다. 개인정보 유출의 피해보상에 관련된 항목인 제 39조, 손해배상책임의 내용은 아래와 같습니다.

개인정보보호법 제 39조, 손해배상책임

 

개인정보보호법 제 39조 손해배상책임 항목을 보면 '정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다.' 라고 되어 있는 것을 볼 수 있습니다. 

 

그리고 그 아래, 제 39조의 2 법정손해배상의 청구 항목을 보면 '정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다' 라고 되어 있습니다.

 

이번 유출사건의 경우 정보주체는 동행복권 회원이 되겠고, 개인정보처리자는 동행복권이 되겠죠. 그리고 이번 해킹 사건으로 손해가 발생하고 이에 동행복권 측의 과실이 있다고 인정된다면 300만원 이하의 범위에서 배상을 청구할 수 있다는 것으로 이해할 수 있을 것입니다.

 

즉, 이번 해킹으로 민감한 개인정보가 유출되어 직접적인 피해를 입은 회원이 있다면 직접 동행복권에게 손해배상을 청구하는 것은 가능할 것으로 보입니다. 그렇지만 손해배상을 청구하지 않은 회원들에게까지 동행복권 측에서 일괄적인 보상을 지급하게 될 것인지는 다른 문제입니다.

 

39조의 3번을 보면 '개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실, 도난, 위조, 변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 5배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다.' 라고 되어 있습니다.

 

즉 동행복권이 고의로 개인정보를 유출했거나, 개인정보 보호에 있어 중대한 과실이 있었다면 회원들에게 손해배상을 하도록 법원에서 정할 수 있다는 것인데요. 이에 관련하여서는 이번 개인정보 유출이 고의나 중대한 과실에 해당되는지가 KISA 조사 결과로 밝혀져야만 정확히 예상할 수 있는 부분입니다.

 

다만 저의 개인적인 의견으로, 고의 또는 중대한 과실로 인정될 가능성이 상당히 낮을 것이라고 생각합니다. 지금까지 국내에서만 수십 건의 대규모 개인정보 유출 사고가 있었고, 그 중에는 KT, LG, 네이버, 메가스터디 등 대형 기업체들의 사례도 포함되어 있었습니다. 그러나 지금까지 벌어진 수십 건의 유출사고 중 법원에서 개인정보처리자의 고의 또는 중대한 과실이 있다고 보고 기업에게 손해배상을 명령한 사례는 단 한 번도 없었습니다.

 

때문에 이번 동행복권 해킹 사건에서만 이례적으로 중대한 과실이 인정되어 손해배상이 명령될 것으로 기대하기 어렵고, 더불어 동행복권 측에서 밝힌 바에 따르면 해킹이 확인된 직후 개인정보 보호를 위한 조치 또한 이루어졌으므로 특별히 괘씸하다고 여겨질 부분 또한 없을 것으로 보입니다.

 

정리하자면, 이번 해킹으로 민감한 개인정보가 유출되어 구체적인 피해를 입은 경우에만 개인적으로 손해배상 청구를 할 수 있을 것으로 생각될 뿐 동행복권에서 그 이상의 특별한 피해보상을 하게 되지는 않을 것으로 보입니다.

 

마치며

국내에서 워낙 많은 개인정보 유출 사고가 있었다 보니, 오히려 단 한번도 개인정보유출에 노출되지 않은 사람이 드물 것이라고 이야기하고는 합니다. 그럼에도 이번 해킹 사고가 많은 비판을 받는 것은 동행복권이라는 기업의 특수성 때문으로 보여집니다.

 

일반적인 사기업들과는 달리 동행복권은 국가로부터 복권 발행 자격을 독점적으로 위임받아 운영하는 곳이다 보니 개인정보 보호와 같은 부분에도 더욱 힘써야 했었다는 점에서도 그렇고, 동행복권에서 발행하는 로또복권을 비롯한 복권들이 서민들의 작은 희망과도 같은 역할이다 보니 같은 사고에도 더 큰 실망감을 주는 느낌도 있습니다.

 

이미 발생한 안타까운 사건이지만, 다만 추가적인 피해 없이 이번 사건이 잘 마무리되기를 바랍니다.