|
하나투어 등은 2017년 9월 해킹을 통해 고객 등 3만4000여건의 개인정보를 유출당해 개인정보 수집이용 과정에서 관리를 소홀히 한 혐의로 2019년 6월 재판에 넘겨졌다. 초기 수사 단계에서 유출된 고객은 46만여명으로 집계됐었지만, 검찰이 재판에 넘긴 건 3만4000여건이다.
사건 당시 하나투어는 원격제어 악성프로그램을 유포하는 해커의 공격을 받았다. 해커는 외주 관리업체 직원이 데이터베이스(DB) 접속에 사용하는 개인 노트북과 보안망 PC 등에 침입했다. 해당 노트북에는 관리자용 아이디(ID)와 비밀번호가 암호화되지 않은 상태로 메모 파일에 보관돼 있었고, 해커는 DB 접속을 원활하게 할 수 있었다.
또 하나투어는 외부에서 개인정보처리시스템에 접속할 때 아이디나 비밀번호 이외에 일회용 비밀번호 생성기(OTP)·인증서·보안토큰 등 추가 인증수단을 거치도록 조치해야 함에도 이를 지키지 않은 것으로 드러났다.
재판 과정에서 하나투어 측은 “피고인들은 해커로부터 6억원을 지급하지 않으면 개인정보를 유출하겠다는 협박까지 받은 피해자”라며 “이들이 형사처벌을 받으면 개인정보 보호 업무 기피 현상은 더 심해진다”며 선처를 호소했지만, 형사처벌을 피하지 못했다.
1심 재판부는 “검찰이 제출한 증거들을 종합하면 피고인들에 대해 전부 유죄가 인정된다”며 “유출된 개인정보의 규모나 유출 경위 등을 참작해 형량을 결정했다”고 판시했다.
피고인과 검찰 측 항소로 이어진 항소심 판단도 바뀌지 않았다. 항소심 재판부는 “피고인들은 양형부당·사실오인·법리오해를 이유로, 검사는 양형부당을 이유로 쌍방 항소했다”면서 “이들 주장은 모두 이유 없는 것으로 판단된다”고 했다.
피고인 측 상고로 이어진 상고심 역시 “원심이 법리를 오해하는 등 판결에 영향을 미친 잘못이 없다”며 상고를 기각했다.