국내 가상화폐 거래소 빗썸의 경력직 공개채용에 지원한 A씨. 아쉽게도 이메일로 받은 면접 결과는 ‘불합격’이었다. 그런데 속상한 마음도 잠시, A씨는 이메일을 보며 황당함을 감출 수 없었다. 다른 이들의 이름과 이메일 주소들이 고스란히 드러났기 때문.

빗썸이 개별 메일이 아닌 단체 메일로 불합격을 통보하며 생긴 일이었다. 원치 않게 개인정보가 유출된 불합격자들 사이에서는 원성이 나왔다. 특히 다른 회사에 재직 중인 지원자의 경우, 이직을 준비했던 것이 소문날까 쉬쉬하는데 이번 사고로 명단이 공개됐기 때문. 소문이 빠르고 좁은 IT업계 특성상 누가 누군지 금방 아는 터라 피해가 우려되고 있다.

본인의 동의 없이 개인정보를 강제로 공개해 버린 빗썸. 이런 경우 빗썸은 어떤 민·형사상 책임을 지게 될지 알아봤다.

사안을 검토한 변호사들은 ‘개인정보보호법’ 위반으로 보인다고는 했다. 메일 주소 뿐만 아니라 이름 등 개인정보가 노출된 사람들도 있기 때문. 이를 본인의 동의 없이 다수가 볼 수 있도록 공개했기에 해당 법 위반은 맞는다고 했다.

법률사무소 태희의 김경태 변호사는 “개인정보보호법에 따르면 성명, 주민등록번호 등을 ‘개인정보’라고 보지만, 이 밖에도 다른 정보와 결합했을 때 누구인지 특정될 수 있는 정보 역시 개인정보로 본다”고 했다.

하지만 빗썸에게 형사책임을 묻는 건 어렵다고 내다봤다. 개인정보보호법상 이번 사안과 연결되는 형사 처벌 규정을 찾기 어려워서다.

서울종합법무법인의 류제형 변호사는 “개인정보처리자가 타인의 민감정보를 유출했을 때 2년 이하의 징역 등으로 처벌하는 제23조를 검토해 볼 수 있다”면서도 “빗썸이 유출한 개인정보가 개인정보보호법에서 규정하는 민감정보인지가 쟁점이 될 것 같다”고 했다.

개인정보보호법에서 말하는 민감정보란 사상, 신념, 정치적 성향, 유전정보, 범죄경력자료 등이다. 하지만 이번에 공개된 명단에 이 같은 민감정보까지는 포함되지는 않았을 것이기 때문에 해당 조항을 적용하기는 쉽지 않다는 의미였다.

법률사무소 수훈의 박도민 변호사도 “형사처벌로 이어지기는 어려울 것”이라며 “개인정보보호법을 근거로 손해배상 책임을 지우는 쪽으로 가야 할 것 같다”고 했다.

다만, 서초동의 한 변호사는 개인정보보호법 제59조(금지행위) 위반에 대한 미필적 고의가 인정될 여지를 열어뒀다. 이 조항은 △업무상 알게 된 개인정보를 누설하는 등의 행위 △정당한 권한 없이 또는 허용된 권한을 초과해 다른 사람의 개인정보를 훼손, 유출하는 등의 행위를 금지한다.

불합격 통지 업무를 하면서 “다른 사람들도 개인정보를 볼 수도 있다”고 인식했다면 미필적 고의에 해당한다. 제59조를 어겼다고 인정되면 5년 이하의 징역 또는 5000만원 이하의 벌금에 처해진다.

하지만 변호사들은 모두 빗썸이 손해배상 책임은 져야 한다고 봤다. 또한, 소송을 제기하는 측(정보가 유출된 불합격자들)이 유리한 측면도 있다고 했다.

일반적으로 민사소송의 경우 민법 제750조를 근거로 한다. 해당 조항은 “고의 또는 과실로 인한 위법행위로 타인에게 손해를 가한 사람은 그 손해를 배상할 책임이 있다”고 규정한다. 이때 손해를 입었다고 주장하는 사람이 자신의 손해를 입증해야 하는 책임이 있다. 하지만, 이번 경우 개인정보보호법 제39조를 내세우면 된다는 것. 개인정보보호법 제39조는 “개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 (손해배상) 책임을 면할 수 없다”고 규정하고 있다. 즉 개인정보처리자인 빗썸이 이번 사건에서 자신들의 과실이 없다는 점을 입증해야 하는 것이다.

김경태 변호사는 “손해를 입증하는 책임이 전환됐다고 보면 된다”고 했다.

피해자들이 받을 수 있는 손해배상금액은 어느 정도일까. 박도민 변호사는 “공공연하게 개인정보가 드러났고, 재직하는 회사가 있는 경력자의 경우 이번 일로 불이익을 받을 수도 있다”며 “통상 30만~50만원 선이지만 과실이 중대해 100만원 이상도 가능해 보인다”고 했다.

한편 29일 빗썸 측은 “앞으로 이런 일이 재발하지 않도록 조심하겠다”며 피해자들에게 사과했다고 밝혔다.