[서울=뉴스핌] 김신영 기자 = 해커로부터 고객 개인정보를 유출 당한 하나투어와 정보 보호 책임 담당자가 벌금형을 확정받았다.

대법원 제3부(주심 이흥구 대법관)는 정보통신망 이용 촉진 및 정보 보호 등에 관한 법률 위반 혐의로 기소된 하나투어와 정보 보호 책임 담당자 A씨의 상고심 선고기일에서 벌금 1000만원을 선고한 원심 판결을 확정했다고 21일 밝혔다.

하나투어는 지난 2017년 해커가 유포한 원격제어 악성 프로그램에 의해 고객의 성별과 전화번호, 주소, 여권번호 등이 기재된 정보 3만4000여건을 유출 당했다.

해커는 하나투어의 데이터베이스를 관리하는 외주관리업체 직원이 업무용으로 사용하던 개인 노트북에 악성 프로그램을 유포해 침투한 것으로 확인됐다.

외부에서 정보통신망을 통해 개인정보 처리 시스템에 접속할 때는 아이디와 비밀번호 외에 인증서나 보안토큰, 일회용 비밀번호 등이 필요하지만 해당 노트북에는 별도의 인증수단이 없었던 것으로 드러났다.

이에 하나투어와 A씨는 개인 정보의 분실이나 도난, 유출, 훼손을 방지하고 안전성을 확보하기 위한 기술적·관리적 조치를 소홀히 한 혐의로 기소됐다.

1심은 하나투어와 A씨가 개인정보의 안전성을 확보하기 위해 안전수단을 적용하는 등 조치를 제대로 취하지 않았다고 보고 각각 벌금 1000만원을 선고했다.

2심은 "이 사건 범죄는 정보통신서비스 제공자의 관리 소홀 등으로 개인 정보가 유출된 것으로 정보의 내용이 다른 범죄에 사용될 가능성이 높고 정보 규모도 커 사회적 폐해가 상당하다"며 1심 판단을 유지했다.

대법원 또한 원심 판단이 옳다고 봤다.

대법원은 "원심 판단에 정보통신망 이용 촉진 및 정보 보호 등에 관한 법률이 정한 암호화 기술 보안 조치와 죄형 법정주의에 관한 법리 등을 오해한 잘못이 없다"고 판시했다.

sykim@newspim.com