여기어때 개인정보유출사건

  •   이 사건은....

Sample
2017년 3월 7일부터 17일 사이 주식회사 위드이노베이션이 운영하는 숙박검색 모바일서비스 “여기어때” 가입자들의 개인정보 99만 584건(중복제외)이 유출되었습니다. 유출된 개인정보 중에는 숙박 예약정보 91만건, 숙박한 업체 등의 정보 1100건, 가입자의 이름, 주소, 이메일, 휴대폰번호 등의 회원정보 7만 8천여건이 포함되어 있었습니다. 그 뿐만 아니라 이 중 4817명에 이르는 가입자들은 “×월×일 OO(숙박업소명)에서 즐거우셨나요”와 같은 문자를 받기도 했습니다. 

이에 민관합동조사단(방송통신위원회, 한국인터넷진흥원, 미래창조과학부, 민간 전문가 등으로 구성)은 지난 4월 26일, “㈜위드이노베이션 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재하였으며, 탈취된 관리자 세션 값을 통한 우회접속(세션변조 공격)을 탐지ㆍ차단하는 체계가 없는 것으로 확인되었다”는 조사결과를 발표하였고, 보안업계 관계자들 또한 주식회사 위드이노베이션 측이 해킹을 막기 위한 기본적인 조치들을 제대로 갖추지 않았다고 하는 등 회사 측이 웹페이지 보안관리를 소홀히 하여 정보가 유출된 정황이 드러나고 있습니다.

무엇보다 이 사건에서는 개인의 사생활 중 내밀한 영역으로써 누구에게도 공개하고 싶지 않은 정보가 포함되어 있고, 유출된 정보를 해커 등의 제3자가 열람한 사실이 드러났음은 물론, 유출된 정보가 앞으로도 제3자의 지배 하에서 금융사기, 공갈 등 각종 범죄에 이용될 가능성이 있으며, 실제로도 약 4천 8백여명에게 협박문자가 발송되는 등 가입자들이 개인정보유출로 인해 입은 피해가 큰 것으로 보입니다. 더구나, “여기어때”측은 지난해 12월에도 정보유출 건으로 한국인터넷진흥원(KISA)의 제재(보안패치)를 받은 전례가 있는데도 여전히 허술한 수준의 보안관리로 이번 사건을 초래하였으며, 이후에도 유출정보 여부를 쉽게 확인할 수 있는 페이지를 별도로 만들지 않고 개별 문의 시 알려주겠다고 하거나 피해보상을 차일피일 미루고 있는 등, 이용자들의 피해 확산 방지 및 보상을 위한 조치를 취하지 않고 있습니다.

이와 같이 이번 사건은 주식회사 위드이노베이션의 개인정보 보호조치 위반으로 정보가 유출되는 피해를 입은 “여기어때” 가입자들이 주식회사 위드이노베이션에게 손해배상을 청구하는 사안입니다.

  소송참여

Sample

※ 소송참여자격은?

'여기어때' 가입자들 중, 이번 사건으로 개인정보가 유출되는 피해를 입으신 분들이 이 소송에 참여하실 수 있습니다. (피해확인 방법 → 바로가기)

※ 상대방(피고)은?

주식회사 위드이노베이션입니다.

※ 소송의 법적근거와 집행방향은?

소송의 법적근거는정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하정보통신망법') 제28조 (개인정보의 보호조치), 제32조 (손해배상), 제32조의 2 (법정손해배상의 청구) 등 입니다.

 

주요 내용은, 정보통신서비스 제공자 등은 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 기술적·관리적 조치를 하여야 하고(개인정보 보호조치), 이를 위반하여 이용자가 피해를 입을 경우 손해배상책임을 지며(손해배상), 이용자가 정보유출에 따른 구체적 피해액을 입증하기 힘든 경우 300만원 이하의 범위에서 손해배상을 청구할 수 있고(법정손해배상의 청구),그 위반이 고의 또는 중과실로 인한 것인 경우 법원은 손해액의 3배를 넘지 않는 범위에서 손해배상액을 정할 수 있다는 것입니다(일종의 징벌적 손해배상 규정). 

※승소가능성, 승소금액 및 집행가능성은?

본 건에서 감독당국인 방송통신위원회는주식회사 위드이노베이션 홈페이지에는 비정상적인 데이터베이스 질의에 대한 검증 절차가 없어SQL 인젝션 공격에 취약한 웹페이지가 존재했고, 탈취된 관리자 세션 값을 통한 우회접속을 탐지, 차단하는 체계가 없었다'는 조사결과를 발표한 바 있고, 이와 같은 보안관리의무 위반을 이유로 회사에게 과징금을 부과할 것으로 보입니다. 또한 보안업체 관계자들 또한 회사의 기본적인 보안 취약을 지적하고 있으며, 저희가 검토한 바에 따르더라도 회사는 정보통신망법상 요구되는 개인정보 보호조치의무를 위반하여 가입자들에게 피해를 입힌 것으로 판단됩니다. 이러한 사정들을 감안할 때 이번 소송의 승소가능성이 상당히 있다고 생각됩니다.

 

승소금액의 경우 대규모 정보유출사건에서 법원은 통상 피해자들에게 10만원~20만원 상당의 위자료를 인정해 왔습니다. 그러나 지난 2008년 옥션, 2011년 네이트, 2012년, 2014년 케이티, 2014년 카드3사 정보유출사건을 거치는 동안 개인정보의 중요성에 대한 일반의 인식이 높아져왔고, 정보유출 피해자의 실질적인 구제를 위해 법정손해배상 및 징벌적손해배상 제도가 도입되기 이르렀으며, 이번 사건의 경우 유출된 정보가 개인정보는 물론 객실명, 숙박일수 등 전례 없이 민감한 사생활과 관련한 것이라는 점 및 실제로 협박문자가 발송된 점 등을 고려하면, 이번 소송에서는 지난번보다 더 큰 배상액이 인정 될 것으로 보입니다. (저희는 이번 소송에서 일단 피해자 1인당 1백만 원을 청구할 예정인데, 소송진행의 추이를 보다가 청구금액을 확장할 가능성도 염두에 두고 있습니다.)

※ 소송비용 및 변호사보수는?

가. 소송에 착수하기 위한 변호사 비용

본 건의 위임사무 수행에 따른 착수금은 1만원(부가세 포함)이며, 이는 위임사무 중 1심에 소용되는 인지대, 송달료 등 비용이 모두 포함된 금액입니다. 착수금에 대한 현금영수증은 1심 소송비용 지출 후에, 변호사의 착수보수에 한하여 발행됩니다.

착수금은 본인 명의의 계좌에서 '입금자명'에본인이름 및 생일4자리를 기재하여 신한은행 100-027-361370 (예금주 : 법무법인 한누리)로 보내시면 됩니다. (예: 홍길동0421)


나. 성공보수

성공보수는 원고가 소송에서 전부 또는 일부 승소(소송이 판결, 재판상 내지 재판외 화해, 조정된 경우 모두 포함)하였을 때 실제 수령하는 금액 중 다음의 비율에 따른 금원입니다. 본안소송 제기 전의 단계부터1심판결만으로 판결금을 집행하실 경우 실제로 지급 받으시는 금액의 10%(부가세 포함, 이하 동일)가 성공보수가 되고, 2심(항소심)이 제기된 이후 승소금액을 수령한 경우는 실제 수령한 금원의 15%, 3심(상고심)부터는 20%로 성공보수가 상향조정됩니다.

※소송참여방법은?

1. 온라인소송닷컴 사이트 소송참가하기’를 통해 참여하실 있습니다.

2. 온라인소송닷컴 사이트로의 접수가 어려우신 분들은 저희 법무법인 한누리로 연락주시면 우편접수 등의 방법으로 소송참여하실 수 있도록 안내해드리겠습니다.

※ 소송진행고지방법은?

1심부터 3심까지 전체 재판사건 진행상황은 진행보고가 있을 때마다 법무법인 한누리 홈페이지 사건 게시판과 이메일을 통하여 공지해 드리겠습니다. 문자메시지로도 해당 사건의 공지여부를 확인하실 수 있습니다.

※ 소송기간은?

소송기간은 상대방의 대응정도, 담당 재판부의 업무부담 등에 따라 달라질 수 있어 단정하기는 어려우나, 1심의 경우 6개월 내지 1년이 소요될 것으로 예상되며, 정보유출소송의 경향에 비추어 볼 때 3년 이상이 걸릴 수도 있습니다. 


저희 사무실은 그간의 경험과 노하우(know-how)를 바탕으로 가능한 빠른 기간 내에 소기의 성과를 이루도록 최선의 노력을 다하겠습니다. 

※ 문의하실 곳은?

본건과 관련하여 문의하실 내용은 저희 사무실의 임진성 변호사, 남덕희 변호사 또는 박현희 실장(☎ 02-537-9500 / hannuri@hannurilaw.co.kr)에게 문의해 주시기 바랍니다.