회사가 개인정보 보호조치를 하지 않아 누구든지 이용자의 개인정보 등을 열람하거나 내려받을 수 있도록 했더라도 실제 개인정보 분실이나 도난, 누출 등이 이뤄지지 않았다면 처벌 할 수 없다는 판결이 나왔다. 현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제28조는 정보통신서비스 제공자 등이 개인정보를 취급할 때 개인정보 분실, 도난 등을 방지하기 위해 기술적·관리적 조치를 해야 한다'고 규정하고 있다. 이를 어기면 2년 이하의 징역 또는 1000만원 이하의 벌금을 받게 된다. 대전지법 형사8단독 차주희 판사는 지난달 18일 개인정보 누출 방지를 위한 조치를 하지 않은 혐의로 기소된 보험판매회사 개인정보 총괄 관리책임자 A(40)씨에게 무죄를 선고했다(2014고정1905). 차 판사는 판결문에서 "A씨가 개인정보 누출을 방지하기 위한 기술적·관리적 조치를 하지 않았더라도, 그로 인해 이용자의 개인정보가 분실·도난·누출·변조 또는 훼손되지 않은 이상 개인정보 보호조치를 하지 않았다는 이유로 처벌할 수 없다"고 밝혔다. A씨가 근무하는 회사는 지난해 3월 회사 홈페이지 '사원 게시판'에 회사를 통해 보험 계약을 한 135명의 이름과 연락처, 증권번호 등 개인정보가 기록된 문서파일을 올렸다. 그런데 이 게시판은 인터넷 검색 사이트를 통해 누구나 입장이 가능하고, 파일도 내려받을 수 있었다. 검찰은 "개인정보 누출을 방지하기 위한 조치를 하지 않았다"며 책임자인 A씨를 기소했다.

북한을 찬양하는 내용의 글을 올린 한국대학총학생회연합(한총련) 사이트를 폐쇄하라는 명령은 정당하다는 대법원 판결이 나왔다. 대법원 특별2부(주심 김창석 대법관)는 진보네트워크센터가 "한총련 사이트에 서버를 제공하는 웹호스팅을 중단하라는 명령을 취소해 달라"며 방송통신위원회를 상대로 낸 취급거부명령처분 취소소송 상고심(2012두26432)에서 원고패소 판결한 원심을 지난달 26일 확정했다. 웹호스팅은 정보통신망에 웹사이트를 구축하고자 하는 고객을 위해 서버를 임대하고 서버 운영·관리를 대행해 고객이 설비를 갖추지 못해도 웹사이트를 운영할 수 있도록 해주는 사업이다. 재판부는 판결문에서 "웹호스팅 서비스도 정보 제공을 목적으로 자신의 설비를 이용해 정보를 수집·가공하는 정보 취급행위에 해당하기 때문에 특정 웹사이트가 국가보안법에서 금지하는 행위를 수행하는 내용의 정보를 다룰 때에는 정보 취급을 거부하는 취지로 웹호스팅 서비스 중단을 명령할 수 있다"고 밝혔다. 또 "한총련이 70여건의 이적표현물에 대해 삭제명령을 따르지 않았고, 진보네트워크센터에도 시정을 요구했지만 따르지 않았기 때문에 웹호스팅 중단 명령을 한 것은 정당하다"고 설명했다. 진보네트워크센터는 진보넷이라는 인터넷 사이트를 개설한 뒤 회원들에게 이메일 계정과 인터넷 홈페이지를 구축할 수 있는 웹호스팅 서버 공간을 제공했다. 한총련은 계정과 서버공간을 제공받아 사이트를 개설한 뒤 게시판을 통해 북한 정권에 대한 정보를 올렸다. 경찰청은 2011년 3월 한총련이 사이트를 통해 북한 정권을 찬양하고 북한의 주장에 동조하는 정보를 제공했다며 방통위에 사이트 이용을 해지해 줄 것을 요구했다. 방통위는 심의를 거쳐 진보네트워크에 이용 해지를 하라고 요구했지만 따르지 않자 사이트 폐쇄를 통보했다. 1·2심은 "게시글의 삭제를 요청했지만 전혀 시정되지 않았고, 사이트 운영자가 누구인지조차 명확하지 않은 상태에서 유사 정보가 지속적으로 올라오고 있는 점을 고려할 때 웹호스팅 제공을 중지하라고 명령한 것은 정당하다"고 원고패소 판결했다.

온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 해당 업체에게 개인정보 유출에 대한 책임을 지우기 어렵다는 대법원의 첫 판결이 나왔다. 대법원 민사1부(주심 고영한 대법관)는 간모씨 등 개인정보가 유출된 옥션 고객 2만2650명이 옥션을 운영하는 ㈜이베이(소송대리 김앤장 법률사무소)와 이 회사의 보안관리업체 인포섹(소송대리 법무법인 남산)을 상대로 낸 손해배상 청구소송 상고심(2013다43994)에서 원고패소 판결한 원심을 12일 확정했다. 재판부는 "옥션의 보안기술 수준과 보안조치를 보면 회원들의 개인정보를 안전하게 지키기 위해 필요한 보호조치를 모두 다 한 것으로 보이기 때문에 회원 개인정보 유출에 대한 손해배상 책임을 인정하기 어렵다"고 밝혔다. 이에 대해 "인터넷의 특성상 모든 사이트는 해커의 불법적인 침입에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 어렵다"고 설명했다. 옥션은 2008년 1월 중국인 해커로부터 회원 1800만명의 이름과 주민등록번호, 주소, 아이디, 계좌번호 등 개인정보를 모두 해킹당했다. 옥션 회원 14만6601명은 "1명당 20만원씩 배상하라"며 역대 최대 규모의 집단소송을 냈다. 1·2심은 "옥션은 해킹사고를 방지하기 위해 기술적인 보호 조치를 다 했다"며 원고패소 판결했고 고객 2만2650명만이 상고했다.

법원이 지난 2011년 서울시장 보궐선거 당일 중앙선거관리위원회 홈페이지 등에서 일어난 '디도스(DDos) 공격' 관련 정보를 공개하라고 판결했다. 서울행정법원 행정7부(재판장 정형식 수석부장판사)는 최근 참여연대 측이 중앙선관위를 상대로 낸 정보공개 거부처분 취소소송(2012구합21192)에서 원고일부승소 판결했다. 참여연대는 지난 2012년 2월 선관위에 '라우터(망과 망 사이 트래픽을 주고받는 역할을 전담하는 컴퓨터 장치의 일종) 상태·접근기록'과 '유입 트래픽 추이' 등의 정보 공개를 요구했다. 그러나 선관위는 해당 정보에 포함된 IP주소를 가리는 작업을 일일이 하기 어렵고 국가안보와 관련된 자료라는 점, 선관위의 운영상 비밀이라는 점 등을 들어 공개를 거부했다. 참여연대는 이에 불복해 같은해 7월 소송을 냈다. 재판부는 라우터 정보와 관련해 "특정일시에 한정된 것으로, 새 기록을 가공·생산하는 수준의 작업을 요하지 않는다"며 "이를 공개한다고 해서 국가안보나 선관위 운영에 해가 되지 않는다"고 설명했다. '유입 트래픽 추이'에 대해서도 "단순한 정보의 소통량을 의미하므로 공개 대상"이라고 밝혔다.

컴퓨터 프로그램 판매업체가 프로그램을 자주 할인해 팔았다면 무단사용에 따른 손해배상금액도 할인 가격을 기준으로 받아야 한다는 판결이 나왔다. 서울중앙지법 민사13부(재판장 심우용 부장판사)는 최근 미국에 있는 컴퓨터 프로그램 제작·판매업체 A사가 국내 전자부품 개발 회사인 B사를 상대로 낸 손해배상 청구소송(2013가합529080)에서 "피고는 1억원을 지급하라"며 원고일부승소 판결을 했다. 재판부는 판결문에서 "컴퓨터 프로그램의 판매가격은 제조원가, 유통비, 일반관리비 등 제반 비용에 이윤이 더해져 결정되는 것이다"며 "판매가격 전체를 A사의 손해액으로 인정한다면 A사가 실제 입은 손해보다 더 많은 손해액을 인정하게 되는 불합리한 결과에 이르게 되므로 손해배상금액을 판매가격을 기준으로 산정할 수 없다"고 밝혔다. 재판부는 "프로그램 전체가 판매된 사례는 거의 없으며, A사가 평소 프로그램을 정가보다 싼 값에 묶음 판매 하기도 한 점 등을 고려해 판매가의 4분의 1을 손배배상액으로 산정한다"고 설명했다. 국내 전자부품 개발·판매업체인 B사는 평소 A사의 전자설계자동화 프로그램을 이용해 전자제품을 설계해 왔다. A사의 프로그램은 전자부품 설계에 꼭 필요한 제품이지만 B사는 구입 비용이 컴퓨터 1대당 평균 2억원에 이르자 무단 복제해 2대의 컴퓨터에 설치·사용했다. B사의 불법 사용 사실을 뒤늦게 알게된 A사는 사용료 4억원을 지급하라며 소송을 냈다.

경쟁사의 고객 전화번호를 불법으로 수집하려다 적발된 한국통신(KT)에 대해 벌금 1000만원이 확정됐다. 대법원 형사3부(주심 박보영 대법관)는 지난달 24일 정당한 권한 없이 SK브로드밴드의 정보통신망에 접속한 혐의(정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반)로 기소된 ㈜KT에 대한 상고심(2012도7558)에서 벌금 1000만원을 선고한 원심을 확정했다. 재판부는 판결문에서 "정보통신망 침입죄는 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하면 성립한다"며 "원심이 공소사실을 유죄로 인정한 것은 정당하고, 정보통신망법상 침입의 개념을 오해한 위법이 없다"고 밝혔다. KT 직원인 백모씨 등 13명은 2010년 3월 대구시에 있는 한 아파트 통신장비실에 들어가 입주자들 중 SK브로드밴드에 가입한 사람들의 전화번호를 알아낼 목적으로 시험용 전화기를 사용해 SK가 관리하는 전기통신설비에 임의로 접속했다가 SK직원들에게 적발돼 경찰에 넘겨졌다. 검찰은 형법상 양벌규정을 근거로 KT를 기소했고, 1심은 벌금 1000만원을 선고했다. KT는 "정보통신망 침입죄는 시스템의 정상적인 운영을 저해해야 성립한다"며 항소했으나, 2심은 "정상적인 운영을 저해했는지와 상관없이 정당한 권한없이 정보통신망에 침입했다면 죄가 성립한다"며 항소를 기각했다. 실제 범행을 한 KT 직원 2명에게도 벌금형이 선고됐다.

악성코드 프로그램을 유포해 인터넷 포털사이트 검색어 순위를 조작한 행위는 정보통신 이용촉진 및 정보보호 등에 관한 법률(정보통신망보호법) 위반죄가 아닌 형법상 '컴퓨터 등 장애 업무방해죄'로 처벌해야 한다는 대법원 판결이 나왔다. 컴퓨터 등 장애 업무방해죄는 5년 이하의 징역 또는 1500만원 이하의 벌금형에 처하도록 규정돼 있지만, 정보통신망법상 정보통신망에 장애를 일으킨 행위는 5년 이하의 징역이나 5000만원 이하의 벌금에 처하도록 돼있어 벌금형에 차이가 있다. 대법원 형사2부(주심 김용덕 대법관)는 지난달 28일 악성코드 프로그램을 유포하고 포털사이트 검색어를 조작한 혐의(정보통신망법 위반, 컴퓨터 등 장애 업무방해)로 기소된 강모(48)씨에 대한 상고심(2010도4607)에서 징역 1년에 집행유예 2년을 선고한 원심을 깨고 사건을 서울중앙지법으로 돌려보냈다. 재판부는 판결문에서 "정보통신망법은 정보통신망의 안정적 운영을 방해할 목적으로 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애가 발생하게 한 자를 처벌하도록 하고 있다"며 "여기서 '부정한 명령'은 정보통신망의 운영을 방해하도록 정보통신망을 구성하는 컴퓨터시스템에 그 시스템의 목적상 예정하고 있지 않은 프로그램을 실행하게 하거나 시스템의 프로그램을 구성하는 개개의 명령을 부정하게 변경, 삭제, 추가하거나 프로그램 전체를 변경하게 하는 것"이라고 밝혔다. 재판부는 "비록 허위의 정보자료를 처리하게 했더라도 그것이 정보통신망에서 처리가 예정된 종류의 정보자료인 이상 정보통신망법에서 정한 '부정한 명령'을 처리하게 한 것이라고 볼 수 없고, 이같이 허위의 자료를 처리하게 함으로써 정보통신망의 관리자나 이용자의 주관적 입장에서 볼 때 진실에 반하는 정보처리결과를 만들어냈더라도 정보통신망에서 정보를 수집·가공·저장·검색·송신하는 기능을 물리적으로 수행하지 못하게 하거나 그 기능 수행을 저해하지는 않는 이상 컴퓨터 등 장애 업무방해죄가 성립될 수 있음은 별론으로 하고 정보통신망법 위반죄로 처벌할 수는 없다"고 설명했다. 강씨는 2006년 7월부터 2008년 8월까지 인터넷 꽃배달업체 등으로부터 돈을 받고 특정 업체명을 반복검색하게 하는 악성 프로그램을 유포해 인터넷 포털사이트 '네이버' 검색어 순위를 조작한 혐의로 기소됐다.

'GS칼텍스 회원정보유출 사고' 피해자들이 GS칼텍스를 상대로 낸 집단소송에서 최종 패소했다. GS칼텍스 회원정보 유출사건은 1100만명이 넘는 사람들의 주민등록번호와 주소, 전화번호 등이 유출돼 사상 최대 규모의 개인정보 유출사고로 기록됐던 사건이다. 대법원 민사2부(주심 이상훈 대법관)는 26일 개인정보 유출 피해자 중 1,2심 판결에 불복해 상고한 김모씨 등 2200여명이 "개인정보 유출로 인한 위자료를 1인당 100만원씩 지급하라"며 GS칼텍스와 자회사 GS넥스테이션을 상대로 낸 손해배상 청구소송 상고심(2011다59834)에서 원고패소 판결한 원심을 확정했다. 재판부는 판결문에서 "김씨 등의 개인정보는 정모씨에 의해 유출된 후 편집과정을 거쳐 판매처 물색 부탁을 위한 목적으로 타인에게 전달 또는 복제됐고, 이후 집단소송을 위한 사전작업으로 언론관계자 등에게 유출됐지만 언론보도 직후 개인정보가 저장된 저장매체 등을 소지하고 있던 사건 관련자들로부터 모두 압수, 임의제출되거나 폐기됐다"며 "개인정보 저장매체가 유출됐다가 회수되거나 폐기되기까지 정씨 등 개인정보를 유출한 범인들이나 언론관계자들이 일부를 열람한 적은 있으나 그들 스스로 개인정보의 내용을 지득하거나 이용할 의사가 있었다고 보기는 어렵다"고 설명했다. 이어 "개인정보 유출로 인해 김씨 등에게 신원확인, 명의도용이나 추가적인 개인정보 유출 등 후속 피해가 발생했다고 볼만한 상황이 발견되지 않는 점 등을 고려하면 김씨 등에게 위자료로 배상할 만한 정신적 손해가 발생했다고 볼 수 없다"고 밝혔다. GS넥스테이션 직원이던 정씨는 2008년 7월 회사 서버에 접속해 보너스카드 회원 1151만여명의 이름, 주민번호 등 회원정보를 사무용 컴퓨터에 내려받은 뒤 DVD에 복사해 집단소송을 의뢰받은 변호사 등 몇몇 지인에게 건넸다. 정씨 등 정보유출에 관여한 5명은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 기소돼 실형 또는 집행유예가 확정됐다. 이후 정보 유출 피해자 2만8000여명은 GS칼텍스가 개인정보를 허술하게 관리해 정신적 피해를 봤다며 소송을 냈다. 1,2심은 "김씨 등의 개인정보 자기결정권이 침해됐거나 침해될 상당한 위험성이 발생했다는 점을 인정하기 어렵다"며 원고패소 판결했다.

지난해 10·26 재보궐선거에서 중앙선거관리위원회 홈페이지에 대한 디도스(DDos) 공격에 가담한 혐의(정보통신기반보호법위반 등)로 기소돼 1심에서 유죄가 인정된 박희태 전 국회의장 비서 김모씨에게 무죄가 선고됐다. 서울고법 형사2부(재판장 김동오 부장판사)는 11일 김씨에 대한 항소심(2012노2034)에서 유죄판결한 1심을 파기하고 무죄를 선고했다. 다만 특별검사에 의해 따로 기소된 직권남용 권리행사 방해죄에 대해서는 징역 8월을 선고한 1심 판단을 유지했다(2012노3352). 범행을 주도한 혐의로 기소돼 1심에서 징역 5년을 선고받은 최구식 전 한나라당 의원의 비서 공모씨에게는 징역 4년을 선고했다. 재판부는 판결문에서 "디도스 공격 직전과 직후에 김씨와 공씨가 10회 넘게 통화했더라도, 이러한 사정만으로는 김씨가 공씨와 디도스 공격 행위를 공모했거나 가담했다고 보기 어렵다"고 밝혔다. 또 "김씨가 공씨에게 송금한 1000만원은 공씨가 디도스 공격을 실제로 해 볼 생각을 하기 이전에 지급한 것"이라며 "디도스 공격에 대한 대가로 1000만원을 줬다고 단정하기 어렵다"고 설명했다. 공씨에 대해서는 "중앙선관위 홈페이지에 대한 디도스 공격행위가 선거제도의 본질을 해하는 헌정사상 유례를 찾아볼 수 없는 범죄"라며 "사회적 파장이 크고 유사 사건의 재발 방지를 위해 엄정한 처벌이 필요하다"고 밝혔다. 공직선거법위반죄는 1심의 2년형을 유지했으나, 전기통신기반보호법 위반죄 등 나머지 죄는 1심에서 1년 감형한 2년형을 인정해 모두 4년형을 선고했다. 또 공씨와 함께 디도스 공격을 실행한 IT업체 대표 강모씨에게는 징역 3년6월과 벌금 500만원, 추징금 100만원을, 임원 차모씨에게는 징역 2년과 벌금 200만원을 선고했다. 김씨와 공씨 등은 지난해 재보궐선거 전날인 10월 25일 IT업체 직원들에게 중앙선거관리 위원회 홈페이지와 박원순 서울시장의 홈페이지를 공격하라고 지시해 홈페이지를 접속불능 상태로 만든 혐의로 지난해 12월 기소됐다.

네이트와 싸이월드 회원 3500만명의 개인정보가 해킹으로 유출된 사건과 관련해, SK커뮤니케이션즈(SK컴즈)는 정보통신망법에서 정한 조치를 다해 책임이 없다는 판결이 나왔다. 서울중앙지법 민사32부(재판장 서창원 부장판사)는 23일 감모씨 등 323명이 SK컴즈, 이스트소프트와 국가를 상대로 낸 손해배상소송(2011가합90267)에서 원고패소 판결을 내렸다. 이날 재판부는 피해자 2,847명이 같은 취지로 낸 5건의 사건에서 모두 원고 패소 판결했다. 재판부는 판결문에서 "SK컴즈는 해킹 사고 당시 정보통신망법 등 관련 법령이 정한 기술적·관리적 보호조치를 이행한 것으로 보인다"며 "해커가 사용한 해킹수법, 해킹 방지 기술의 한계 등을 종합적으로 고려하면 SK컴즈가 보호조치를 이행하지 않아 해킹 사고를 막지 못한 것으로 보기 어렵다"고 밝혔다. 감씨 등은 SK컴즈가 국내 공개용 알집 프로그램을 사용해 해킹이 가능하게 됐다고 주장했지만, 재판부는 "SK컴즈가 국내 기업용 알집 프로그램을 사용했어도 해커는 공개용 알집과 같은 방식으로 악성 프로그램을 다운로드 받도록 이스트소프트의 업데이트 웹사이트를 조작하는 것이 가능했을 것으로 보인다"며 인정하지 않았다. 알집 프로그램 제작사인 이스트소프트도 책임이 없다고 판단했다. 재판부는 "이스트소프트가 개인정보를 수집, 보관하는 주체에 해당하지 않는 이상, 감씨 등의 개인정보가 유출될 수 있다는 점을 예견할 수 없었던 것으로 보인다"고 설명했다. 지난해 7월 해킹으로 네이트와 싸이월드에서 3500만명의 개인정보 유출사고 발생했으며, 피해자들은 '네이트 해킹 피해자 카페' 등을 통해 소송을 집단적으로 제기했다. 감씨 등은 지난해 8월 '1인당 50만원씩 총 1억6000여만원을 배상하라'며 네이트와 싸이월드 운영사인 SK컴즈와 해킹에 악용된 소프트웨어를 만든 이스트소프트, 관리·감독 책임이 있는 국가 등을 상대로 소송을 냈다.