해킹에 의한 개인정보 유출 사고로 피해를 입은 고객들이 케이티(KT)를 상대로 낸 손해배상 청구소송에서 법원이 엇갈린 판결을 내려 항소심 판단이 주목된다. 인터넷이라는 특성상 모든 사이트가 해커의 불법적인 침입에 노출될 수밖에 없고 완벽한 보안을 갖춘다는 것은 어렵다고 판단한 재판부가 있는 반면, 정보통신업체는 사회통념상 요구되는 수준 이상의 보호조치를 다해야 한다면서 보다 큰 책임을 강조한 재판부도 있다. 서울중앙지법 민사6단독 심창섭 판사는 17일 A씨 등 39명이 KT를 상대로 낸 손해배상 청구소송(2014가소413127)에서 "KT는 1인당 10만원씩 지급하라"며 원고일부승소 판결했다. 2013년 8월부터 2014년 2월까지 KT가 운영하는 마이올레 홈페이지에서 해킹 사고가 발생해 개인정보가 대거 유출됐다. 해커는 이 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력하는 해킹프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 빼냈다. 이에 A씨 등은 2014년 5월 "KT의 관리감독 부실로 개인정보가 유출됐다"며 "1인당 20만원을 배상하라"며 소송을 냈다. 심 판사는 "정보통신서비스 제공자는 사회통념상 합리적으로 기대 가능한 기술수준으로 개인정보를 관리하고 있지만 해커들은 항상 기술수준을 뛰어넘는 방법을 사용한다"며 "KT가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 기술적·관리적 보호조치를 한 것만으로 개인정보의 안전성 확보에 필요한 조치를 다했다고 볼 수 없다"고 밝혔다. 이어 "KT는 7개월간에 걸쳐 1170만건의 개인정보 유출이 이뤄졌는데도 이를 확인하지 못했다"며 "보안관련 인력을 보강하거나 서버를 외부접속용과 내부 접속용으로 분리하는 등 해킹 사고를 방지하기 위한 조치도 취하지 않았다"고 지적했다. 그러나 지난달 20일 서울중앙지법 민사22부(재판장 전지원 부장판사)는 B씨 등 같은 피해를 당한 3645명이 KT를 상대로 낸 손해배상 청구소송(2014가합553622)에서 원고패소 판결했다. 재판부는 "정보통신서비스 제공자가 법에서 정하고 있는 기술적·관리적 보호조치를 다했다면 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 보기 어렵다"고 밝혔다. 이어 "하루 접속 건수가 3300만여건에 이르는 마이올레 홈페이지의 시스템과 같이 방대한 규모의 모든 웹서버 접속 로그 기록을 실시간 분석하거나 상시적으로 사후 분석하는 것은 현실적으로 불가능하다"며 "해커 접속(34만건)은 1% 미만이어서 이상행위를 탐지하기도 어려웠다"고 설명했다. 그러면서 "개인정보 등을 송·수신할 때 암호화의 대상 범위는 일반인이 접근 가능한 인터넷 공중망을 의미한다"며 "해커가 암호화되지 않은 주민등록번호를 확인한 곳은 대리점 PC 내부 영역으로 정보통신망법상 암호화가 요구되는 영역이 아니다"라고 판시했다. 정보통신망법 시행령 제6조 3항은 정보통신서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다고 규정하고 있다. 앞서 대법원은 2015년 2월 KT와 유사하게 해킹에 의해 개인정보가 유출된 경매업체 옥션 사건에서 "온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 업체에 개인정보 유출에 대한 책임을 지우기 어렵다"고 판결했다(2013다43994). 한편 한국소비자원(원장 한견표)은 지난 20일 개인정보 유출 피해를 입은 KT 고객들이 "위약금 없이 서비스를 해지할 수 있도록 해달라"며 신청한 조정을 각하했다. 당시 KT는 개인정보 유출 피해를 본 고객들이 서비스를 해지하겠다고 하자 위약금을 규정대로 물려 사회적 비난을 받았다. 경실련은 2014년 7월 피해고객 57명과 함께 소비자원에 위약금을 물리지 않도록 집단분쟁조정을 신청했다. 그러나 소비자원은 "법에서 정한 최소한의 기술적·관리적 보호조치를 취했으므로 이용계약 해지에 귀책사유가 없고, 개인정보 유출로 재산적 피해는 발생하지 않았다"는 이유로 각하 결정했다. 이에 경실련은 "소비자원은 합리적 설명 없이 절차를 개시하지 않은 채 사건을 장기간 방치해, 다수 피해자가 어쩔 수 없이 해지 위약금을 부담하거나 남은 약정 기간을 채울 수밖에 없었다"며 소비자원에 대한 공익감사 청구와 행정소송 제기를 검토하겠다고 밝혔다.

형사단독사건 1심 재판장이 판결문에 실수로 날인을 누락하고 항소심 재판부도 이를 바로 잡지 못했다가 대법원에서 절차 위반을 이유로 파기환송 당했다. 대법원 형사2부(주심 이상훈 대법관)는 지난달 23일 자신이 다니던 회사 내부망에 접속해 고객 정보를 빼돌린 혐의(업무상 배임 등)로 기소된 이모씨에 대한 상고심(2014도17514)에서 벌금100만을 선고한 원심을 깨고 사건을 서울중앙지법으로 돌려보냈다. 재판부는 판결문에서 "형사소송법 제41조에 따르면 재판서에는 재판한 법관이 서명날인해야 한다"며 "이러한 서명날인이 없는 판결은 형사소송법 제383조 1호가 정한 '판결에 영향을 미친 법률의 위반이 있는 때'에 해당돼 파기되어야 한다"고 밝혔다. 이어 "1심 재판장이 판결문에 날인을 누락했는데도 항소심이 이를 간과한 채 검사의 항소를 기각하는 판결을 선고한 것은 잘못"이라고 지적했다. 의료기 수리기사로 일하던 이씨는 2012년 이직하자마자 전 직장의 웹서버 고객관리사이트에 접속해 고객정보를 빼돌린 혐의로 기소됐다. 이씨는 2014년 8월 1심에서 벌금 100만원을 선고받았는데 당시 판결문에는 1심 재판장의 날인이 누락돼 있었다. 이씨는 항소했고, 항소심도 1심 판결문의 날인 누락을 파악하지 못한 채 항소를 기각했다. 대법원 관계자는 "전자서명을 하지 않는 형사판결의 경우 날인을 하는 과정에서 간혹 누락되는 판결문이 생긴다"며 "서명날인 누락은 절차위반에 해당하기 때문에 각 재판부가 주의를 기울일 필요가 있다"고 말했다.