하나투어 고객 46만여명 개인정보 유출
정부 “하나투어 접근통제·암호화 소홀”
1·2심 벌금 1천만원..대법원, 상고 기각

하나투어가 2017년 10월 공식홈페이지에 올린 고객 개인정보 유출 사과문. <사진=하나투어 홈페이지>
하나투어가 2017년 10월 공식홈페이지에 올린 고객 개인정보 유출 사과문. <사진=하나투어 홈페이지>

[현대경제신문 성현 기자] 하나투어가 고객 46만여명의 개인정보를 제대로 관리하지 않아 유출사고를 막지 못한 혐의로 대법원에서 벌금형 확정판결을 받았다.

대법원 3부는 정보통신망법 위반 혐의로 기소된 전 하나투어 본부장 김모씨와 하나투어 법인에 각각 벌금 1000만원을 선고한 원심이 정당하다며 지난달 30일 상고 기각 판결을 내렸다.

이 재판은 지난 2017년 하나투어 고객들의 개인정보가 유출돼 시작됐다.

하나투어는 지난 2017년 10월 공식홈페이지를 통해 “고객님께 개인정보 유출 사실을 통지해드린다”며 “심려를 끼쳐드린 점 머리 숙여 사과드린다”고 밝혔다.

하나투어는 “당사 유지보수업체 직원의 PC가 악성코드에 감염됐음을 인지하고 조사하던 중 2017년 9월 28일 PC를 통해 개인정보 파일의 일부가 유출된 정황을 확인했다”고 설명했다.

유출된 고객 개인정보는 46만건이 넘었다.

이에 행정안전부는 지난 2018년 2월 하나투어에 개인정보보호법 위반으로 과징금 3억2725만원을 부과하는 행정처분을 내렸다.

정부 조사결과 하나투어에서는 2017년 9월 전산망 해킹으로 고객 46만5198명과 임직원 2만9471명 등 49만4천669명의 개인정보가 유출됐다. 이중 42만4757명은 주민등록번호와 이름, 주소, 전화번호도 노출됐다.

당시 행안부는 “하나투어의 주민등록번호 유출은 현행법에 따른 안전성 확보조치 중 접근통제 및 암호화를 소홀히 해 해커가 쉽게 주민등록번호에 접근해 유출된 것”이라며 “중대한 과실이 인정된다”고 밝혔다.

외부에서 하나투어 내부PC에 접근할 때 추가인증 없이 아이디와 비밀번호만으로 접근했고 DB접근제어 프로그램을 통해 DB서버에 접속하는 경우에도 아이디와 비밀번호만으로 접속이 가능한 상태였다는 설명이다.

또 DB서버에 일정시간만 접속이 유지되도록 하는 ‘최대 접속시간 제한조치(Time Session-Out)’를 위반했고 주민번호가 있는 PC에 엑셀과 텍스트 파일의 일부를 암호화하지 않은 상태로 보관했다.

하나투어는 해킹사고와 별도로 예약·여행 후 5년이 지난 고객 221만8257명의 개인정보와 보관의무가 없는 41만8403명의 주민등록번호를 파기하지 않고 보관하다가 적발됐다.

이에 서울동부지검 사이버수사부는 정보통신망법 위반 혐의로 하나투어와 김 전 본부장을 지난 2019년 6월 기소했다.

법원의 판결은 유죄였다.

서울동부지법 형사4단독 박준민 부장판사는 지난 2020년 1월 김 전 본부장과 하나투어 법인에 각각 벌금 1000만원을 선고했다.

박준민 부장판사는 “검찰이 제출한 증거들을 종합하면 피고인들에 대해 전부 유죄가 인정된다”며 “유출된 개인정보의 규모나 유출 경위 등을 참작해 형량을 결정했다”고 밝혔다.

이어 “법리적인 다툼을 많이 했지만 재판부에서 검토한 결과 피고인들의 주장을 받아들일 게 없다고 봤다”고 덧붙였다.

2심의 판결도 같았다.

서울동부지법 형사항소1부는 같은해 7월 1심과 같이 김 전 본부장과 하나투어 법인에 각각 1000만원의 벌금형을 내렸다.

재판부는 “피고인들은 양형부당·사실오인·법리오해를 이유로, 검사는 양형부당을 이유로 항소했다”며 “피고인들의 주장은 모두 이유 없는 것으로 판단된다”고 밝혔다.

이어 “개인정보의 유출 정도를 고려하면 양형도 적당한 것으로 보인다”며 “1심 판결을 그대로 유지하고 피고인들과 검사의 항소를 모두 기각한다”고 말했다.

저작권자 © 현대경제신문 무단전재 및 재배포 금지