[더팩트ㅣ선은양 기자] 온라인동영상서비스(OTT) 티빙 개인정보 유출 사태 피해 이용자 5만여명이 손해배상 청구 소송에 나섰다. 이 소송의 향방은 법원이 유출 정보에 포함된 연계정보(CI)를 얼마나 중대한 개인정보로 평가할지에 달렸다는 평가다.

티빙 측의 안전조치 의무 위반 여부와 함께 CI 유출 자체가 위자료 산정에 어떤 영향을 미칠지도 이번 소송의 핵심 쟁점이 될 것으로 보인다.

21일 법조계에 따르면 법무법인 지향은 최근 티빙 개인정보 유출 피해자 5만여명을 대리해 서울중앙지법에 손해배상 청구 소송을 제기했다. 1인당 30만원의 위자료를 우선 청구했으며 조사 결과에 따라 청구 금액을 확대할 계획이다.

정보 유출 피해자들은 이번 유출 사고에서 이용자들의 이름·생년월일·휴대전화번호뿐 아니라 CI까지 유출된 점을 문제 삼고 있다.

CI는 주민등록번호를 기반으로 생성되는 본인확인용 식별정보로, 여러 온라인 서비스에 흩어진 정보를 동일인 기준으로 연결하는 데 사용된다. 한번 생성되면 사실상 변경이 불가능해 개인정보 업계에서는 '온라인 주민등록번호'로도 불린다.

이번 사건의 첫 번째 쟁점으로는 티빙의 개인정보 보호조치 의무 위반 여부가 꼽힌다.

개인정보보호법은 개인정보처리자에게 접근통제, 접속기록 보관, 침입 탐지 등 기술적·관리적 보호조치를 취하도록 규정하고 있다. 법원은 기업이 이러한 의무를 소홀히 했다고 판단할 경우 손해배상 책임을 인정해왔다.

법원은 지난 2016년 개인정보 유출 사고를 일으킨 인터파크에 원고 1인당 위자료 10만 원 씩을 배상하라고 판결한 바 있다.

당시 재판부는 "해커가 별다른 인증절차 없이도 HQDB 서버에 접속함으로써 회원정보가 유출됐다"며 인터파크의 관리 소홀을 인정했다.

법원이 CI유출을 어느 정도 손해로 평가하느냐에 따라 위자료 규모는 달라질 전망이다.

이름이나 이메일 주소, 휴대전화번호는 변경이 가능하지만 CI는 사실상 교체가 불가능해 유출 시 장기간 신원도용이나 개인정보 결합 위험에 노출될 수 있기 때문이다.

이은우 법무법인 지향 변호사는 "일반 개인정보 유출 사건에서는 연락처나 이메일 주소가 문제되는 경우가 많았지만 CI는 개인 식별력이 훨씬 강한 정보"라며 "단순 연락처 유출이 아니라 사실상 영구적 식별정보 유출이라는 점과 잠재적 피해 가능성을 강조할 것"이라고 밝혔다.

일각에서는 실제 금전적 피해가 발생하지 않은 상황에서 CI 유출만으로 위자료가 크게 인정되기는 쉽지 않을 것이라는 전망도 나온다.

최경진 가천대학교 법학과 교수(전 개인정보보호법학회장)는 "법원은 개인정보 유출 사건에서 위험 발생 가능성과 실제 발생한 손해를 구분해 판단하는 경향이 있다"며 "CI값 뿐만 아니라 이름, 전화번호 등 다른 개인 정보와의 결합으로 발생할 수 있는 문제에 대한 별도 판단이 따를 것"이라고 설명했다.

이에 따라 이번 사건이 단순 개인정보 유출 사건을 넘어 법원이 CI를 어느 수준의 민감한 개인정보로 평가하는지를 보여주는 첫 사례가 될 수 있다는 분석이 나온다.

yes@tf.co.kr