2심 법원 "하나투어 항소 기각"
법인·임원에 각각 벌금 1천만원
[현대경제신문 주샛별 기자] 하나투어가 고객 46만여명의 개인정보를 제대로 관리하지 않아 유출사고를 막지 못한 혐의로 2심에서도 유죄판결을 받았다.
서울동부지법 형사항소1부는 고객 46만여명과 임직원 3만명가량의 개인정보가 유출되도록 한 혐의(정보통신망법 위반) 등으로 기소된 하나투어와 이 회사의 김모 상무에 대한 항소심을 23일 기각했다.
재판부는 “항소를 모두 기각하고 벌금 1천만원도 적당하다고 판단해 그대로 유지한다”고 밝혔다.
지난 2017년 9월 하나투어에서 해커의 공격으로 고객과 임직원들의 개인정보가 유출됐다.
하나투어는 지난 2017년 10월 공식홈페이지를 통해 “개인정보 유출 사실에 대해 심려를 끼쳐드린 점 머리 숙여 사과드린다”며 “당사 유지보수업체 직원의 PC가 악성코드에 감염됐음을 인지하고 조사하던 중 2017년 9월 PC를 통해 개인정보 파일의 일부가 유출된 정황을 확인했다”고 설명했다.
정부 조사결과 유출된 개인정보에는 고객들의 주민등록번호도 포함됐고 이름과 주소, 전화번호 등도 노출됐다.
행정안전부는 “하나투어의 주민등록번호 유출은 접근통제 및 암호화 소홀로 해커가 쉽게 주민등록번호에 접근해 유출된 것”이라며 “중대한 과실이 인정된다”고 밝혔다.
외부에서 하나투어 내부PC에 접근할 때 추가인증 없이 아이디와 비밀번호만으로 접근했고, DB접근제어 프로그램을 통해 DB서버에 접속하는 경우에도 아이디와 비밀번호만으로 접속 가능한 상태였다는 설명이다.
또한 하나투어는 해킹사고와 별도로 고객의 예약 및 여행이 완료된 후 5년이 지난 221만8천257명의 개인정보를 2004~2007년까지 수집해 보관의무가 없는 41만8천403명의 주민등록번호를 파기하지 않고 보관해 적발됐다.
이에 서울동부지검 사이버수사부는 정보통신망법 위반 혐의로 하나투어와 김 상무를 지난해 6월 기소했다.
1심은 벌금형이었다.
서울동부지법 형사4단독 박준민 부장판사는 “검찰이 제출한 증거들을 종합하면 피고인들에 대한 유죄가 전부 인정된다”며 “유출된 개인정보의 규모나 유출 경위 등을 참작해 형량을 결정했다”고 밝혔다.
반면 하나투어는 보도자료를 통해 “개인정보 유출사고는 보안조치 부족이 아닌 외부업체 직원의 상식 밖의 일탈행위에서 발생한 사고로 판결이 과하다”며 “법무법인과 함께 항소할 것”이라는 입장을 냈으나 이날 기각됐다.