[뉴스토마토 김수민 기자] 고객 개인정보 대량 유출 사태로 재판에 넘겨진 하나투어 법인과 개인정보 관리책임자가 벌금형을 확정받았다.
대법원 3부(주심 이흥구 대법관)는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의를 받는 하나투어 법인과 김모 본부장의 상고를 기각하고 벌금 1000만원을 선고한 원심을 확정했다고 21일 밝혔다.
재판부는 "원심 판단에 법리 오해 등의 잘못이 없다"고 판시했다.
하나투어는 지난 2017년 9월 유포된 원격제어 악성프로그램에 노출됐고 전화번호와 주소, 여권 번호 등의 고객 정보 3만4000여건이 유출됐다. 해커는 외주관리업체 직원이 데이터베이스(DB) 접속에 사용하는 개인 노트북과 보안망 PC 등에 침입한 것으로 조사됐다.
수사 결과 당시 관리자용 아이디(ID)와 비밀번호는 암호화되지 않은 상태로 외주 직원의 개인 노트북 등에 메모장 파일 형태로 보관돼 있었던 것으로 드러났다.
또 외부에서 개인정보처리시스템에 접속할 때 아이디나 비밀번호 이외에 일회용 비밀번호 생성기(OTP)·인증서·보안토큰 등 추가 인증수단을 거치도록 조치해야 함에도 하나투어는 이를 지키지 않은 것으로 파악됐다.
1심 재판부는 "검찰이 제출한 증거들을 종합하면 피고인들에 대해 전부 유죄가 인정된다. 유출된 개인정보의 규모나 유출 경위 등을 참작해 형량을 결정했다"며 하나투어 법인과 김씨에게 각각 벌금 1000만원을 선고했다.
2심 재판부 또한 "1심의 형은 여러 양형 사유를 포함한 사정을 충분히 고려해 적정하게 결정됐다"며 "사후적으로 양형을 변경할 특별한 사정이 보이지 않는다"고 항소를 기각했다.
.jpg "대법원 청사")
대법원 청사 (사진=뉴스토마토)
김수민 기자 sum@etomato.com