근로자가 개인정보 침해를 우려해 회사 업무용 앱 설치를 거부하더라도 이를 징계사유로 삼을 수는 없다는 판결이 나왔다. 수원지법 성남지원 민사2부(재판장 김상호 부장판사)는 이모씨가 ㈜KT를 상대로 낸 정직처분 무효확인 등 청구소송(2015가합206504)에서 "KT가 이씨에게 내린 징계처분과 전직명령은 무효"라며 "회사의 정직처분으로 이씨가 받지 못한 임금 240여만원도 지급하라"며 최근 원고승소 판결했다. KT는 2014년 무선통신 품질을 측정하기 위한 스마트폰 애플리케이션을 업그레이드하면서 이씨 등 업무지원단 소속 직원들에게 업무용 앱 설치를 지시했다. 해당 앱은 카메라, 통화, 현재위치, 저장된 연락처 등 12개 항목에 접근할 수 있었다. 당시 이씨의 휴대폰은 회사에서 업무용으로 지급한 스마트폰이었는데, 이씨는 "개인정보 침해가 우려된다"며 설치를 거부하고 "다른 스마트폰을 지급해주거나 앱 설치가 필요하지 않은 다른 업무를 배정해달라"고 요구했다. KT는 이씨의 요청을 거부하고 사무실에 대기시키며 앱 설치와 업무수행을 촉구했지만 이씨가 계속 거부하자 성실의무위반 및 조직내 질서존중 의무 위반을 이유로 정직 1개월의 징계처분을 내렸다. 정직 기간이 끝난 후 다른 팀으로 보내진 이씨는 "징계처분과 전직명령을 취소하고, 정직 기간 동안 못 받은 임금도 달라"며 소송을 냈다. 재판부는 "비록 이씨가 사용하던 휴대폰의 명의가 회사로 되어있고 단말기 금액과 통신비도 회사가 부담하고 있다고 하더라도, 이는 노사간 단체교섭을 통해 업무 구분제한없이 지급되는 것으로 임금보전적·복리후생적인 성격이 있는 것"이라며 "지원 조건에서도 본인이 사용하는 것 외에는 다른 제한 조건이 없고 직원들이 사실상 개인용으로 사용하는 점 등을 종합해보면 이씨에게 제공된 업무용 단말기에 저장된 이씨의 개인정보는 개인정보 보호법상의 보호대상에 해당된다"고 밝혔다. 이어 "과학기술의 진보에 따라 기업의 근로감시활동이 전자장비와 결합돼 확대됨에 따라 근로자의 인격권 내지 사생활 침해우려가 고조되고 있지만, 앱을 이용하는 대다수의 이용자가 서비스 제공자가 본인 단말기의 정보를 얼마나 수집하고 어디까지 활용할 수 있는지 정확히 알지 못하고 있다"며 "이러한 상황에서 근로자는 업무수행의 과정이나 방법 등과 관련된 자신의 개인정보자기결정권을 사용자가 존중해 줄것을 요구할 수 있다고 봐야 한다"고 설명했다. 그러면서 "실제 앱 설치 당시 상당한 범위의 개인정보에 접근할 수 있는 권한이 요구된다는 공지가 반복되었고, 이 공지는 업무와는 무관한 개인정보 수집이 발생할 수도 있다는 우려를 낳기에 충분했다"며 "이씨가 앱 설치를 하지 않아 업무수행을 하지 못했다는 점만으로 성실의무 위반이라는 징계사유가 있다고 볼 수 없으므로 징계처분은 효력이 없고 징계처분을 전제로 한 전직명령 역시 무효"라고 판시했다.

해킹에 의한 개인정보 유출 사고로 피해를 입은 고객들이 케이티(KT)를 상대로 낸 손해배상 청구소송에서 법원이 엇갈린 판결을 내려 항소심 판단이 주목된다. 인터넷이라는 특성상 모든 사이트가 해커의 불법적인 침입에 노출될 수밖에 없고 완벽한 보안을 갖춘다는 것은 어렵다고 판단한 재판부가 있는 반면, 정보통신업체는 사회통념상 요구되는 수준 이상의 보호조치를 다해야 한다면서 보다 큰 책임을 강조한 재판부도 있다. 서울중앙지법 민사6단독 심창섭 판사는 17일 A씨 등 39명이 KT를 상대로 낸 손해배상 청구소송(2014가소413127)에서 "KT는 1인당 10만원씩 지급하라"며 원고일부승소 판결했다. 2013년 8월부터 2014년 2월까지 KT가 운영하는 마이올레 홈페이지에서 해킹 사고가 발생해 개인정보가 대거 유출됐다. 해커는 이 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력하는 해킹프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 빼냈다. 이에 A씨 등은 2014년 5월 "KT의 관리감독 부실로 개인정보가 유출됐다"며 "1인당 20만원을 배상하라"며 소송을 냈다. 심 판사는 "정보통신서비스 제공자는 사회통념상 합리적으로 기대 가능한 기술수준으로 개인정보를 관리하고 있지만 해커들은 항상 기술수준을 뛰어넘는 방법을 사용한다"며 "KT가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 기술적·관리적 보호조치를 한 것만으로 개인정보의 안전성 확보에 필요한 조치를 다했다고 볼 수 없다"고 밝혔다. 이어 "KT는 7개월간에 걸쳐 1170만건의 개인정보 유출이 이뤄졌는데도 이를 확인하지 못했다"며 "보안관련 인력을 보강하거나 서버를 외부접속용과 내부 접속용으로 분리하는 등 해킹 사고를 방지하기 위한 조치도 취하지 않았다"고 지적했다. 그러나 지난달 20일 서울중앙지법 민사22부(재판장 전지원 부장판사)는 B씨 등 같은 피해를 당한 3645명이 KT를 상대로 낸 손해배상 청구소송(2014가합553622)에서 원고패소 판결했다. 재판부는 "정보통신서비스 제공자가 법에서 정하고 있는 기술적·관리적 보호조치를 다했다면 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 보기 어렵다"고 밝혔다. 이어 "하루 접속 건수가 3300만여건에 이르는 마이올레 홈페이지의 시스템과 같이 방대한 규모의 모든 웹서버 접속 로그 기록을 실시간 분석하거나 상시적으로 사후 분석하는 것은 현실적으로 불가능하다"며 "해커 접속(34만건)은 1% 미만이어서 이상행위를 탐지하기도 어려웠다"고 설명했다. 그러면서 "개인정보 등을 송·수신할 때 암호화의 대상 범위는 일반인이 접근 가능한 인터넷 공중망을 의미한다"며 "해커가 암호화되지 않은 주민등록번호를 확인한 곳은 대리점 PC 내부 영역으로 정보통신망법상 암호화가 요구되는 영역이 아니다"라고 판시했다. 정보통신망법 시행령 제6조 3항은 정보통신서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다고 규정하고 있다. 앞서 대법원은 2015년 2월 KT와 유사하게 해킹에 의해 개인정보가 유출된 경매업체 옥션 사건에서 "온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 업체에 개인정보 유출에 대한 책임을 지우기 어렵다"고 판결했다(2013다43994). 한편 한국소비자원(원장 한견표)은 지난 20일 개인정보 유출 피해를 입은 KT 고객들이 "위약금 없이 서비스를 해지할 수 있도록 해달라"며 신청한 조정을 각하했다. 당시 KT는 개인정보 유출 피해를 본 고객들이 서비스를 해지하겠다고 하자 위약금을 규정대로 물려 사회적 비난을 받았다. 경실련은 2014년 7월 피해고객 57명과 함께 소비자원에 위약금을 물리지 않도록 집단분쟁조정을 신청했다. 그러나 소비자원은 "법에서 정한 최소한의 기술적·관리적 보호조치를 취했으므로 이용계약 해지에 귀책사유가 없고, 개인정보 유출로 재산적 피해는 발생하지 않았다"는 이유로 각하 결정했다. 이에 경실련은 "소비자원은 합리적 설명 없이 절차를 개시하지 않은 채 사건을 장기간 방치해, 다수 피해자가 어쩔 수 없이 해지 위약금을 부담하거나 남은 약정 기간을 채울 수밖에 없었다"며 소비자원에 대한 공익감사 청구와 행정소송 제기를 검토하겠다고 밝혔다.

개인정보 유출로 피해를 본 롯데카드 이용자들에게 카드사가 10만원씩을 배상해야 한다는 판결이 나왔다. 서울남부지법 민사16부(재판장 이지현 부장판사)는 개인정보 유출로 피해를 본 롯데카드 이용자 5000여명이 롯데카드사와 신용정보업체 코리아크레딧뷰(KCB)를 상대로 낸 손해배상청구소송에서 "롯데카드는 3577명에게 각 10만원씩을 배상하라"고 최근 선고했다(2014가합101508 등). 지난 2014년 롯데카드와 KB국민카드, NH농협카드는 고객정보 1억400만건이 빠져나간 사실이 드러나 논란이 된 바 있다. 특히 롯데카드는 2010년과 2013년에도 개인정보가 유출된 것이 확인됐다. 재판부는 "유출 사고는 민감한 정보가 포함돼 있고, 제3자가 열람했거나 열람 가능성이 높은 점이 인정되며 사회 통념상 정신적 손해가 현실적으로 발생했다"며 "카드 고객정보 관리 실태와 유출 경위, 롯데카드가 마련한 사후조치 등과 개인정보 유출 사고에 대한 예방의 필요성을 종합적으로 고려했다"고 밝혔다. 다만 2013년 건은 "정보가 유통되지 않은채 압수됐으므로 피해가 있었다고 보기 어렵다"며 책임을 인정하지 않았다.

법원이 구글 본사에 "미국 정보기관 등 제3자에게 이용자 정보를 제공한 내역을 공개하라"는 판결을 내렸다. 법원은 이용자가 구글에 가입하면서 '서비스 관련 분쟁이 생기면 미국의 주(州) 법률에 따르기로 한다'는 내용의 약관에 동의했더라도 이는 국제재판권관할과 준거법을 정하는 '국제사법' 위반으로 무효이며 따라서 국내에서 소송제기가 가능하다고 봤다. 다만 구글 측의 손해배상 책임은 인정하지 않았다. 서울중앙지법 민사22부(재판장 박형준 부장판사)는 구글메일 이용자인 오병일 진보네트워크센터 사무국장 등 6명명(소송대리인 법무법인 이공)이 "가입자의 개인정보·서비스이용내역을 제3자에게 제공한 현황을 공개하고 300만원을 배상하라"며 미국 구글 본사와 구글코리아를 상대로 낸 소송(2014가합38116)에서 원고일부승소 판결했다. 구글은 "가입 약관을 통해 모든 소송은 독점적으로 미국 캘리포니아주 산타클라라 카운티 연방 또는 주 법원에서 하기로 당사자 간 합의를 했으므로 한국 법원에서의 소송은 각하돼야 한다"고 주장했지만 받아들여지지 않았다. 재판부는 판결문에서 "구글이 국내 이용자를 위한 별도의 도메인 주소를 운영하면서 한국어로 된 특화된 서비스를 제공하고 있고, 국내 기업이나 개인에게서 광고를 수주하는 등 영업활동을 하고 있다"며 "따라서 구글과 이용자가 대한민국 법원의 국제재판관할권을 배제하기로 합의했더라도 이런 합의는 국제사법 제27조를 위반해 효력이 없다"고 밝혔다. 이 조항은 '소비자의 상대방이 그 국가 외의 지역에서 그 국가에서 광고에 의한 거래의 권유 등 직업 또는 영업활동을 행하거나 그 국가 외의 지역에서 구 국가로 광고에 의한 거래의 권유 등 직업 또는 영업활동을 행하고, 소비자가 그 국가에서 계약체결에 필요한 행위를 한 경우 당사자가 준거법을 선택하더라도 소비자의 상거소가 있는 국가의 강행규정에 의해 소비자에게 부여되는 보호를 박탈할 수 없다'고 규정하고 있다. 재판부는 또 "구글이 당사자 간 합의를 이유로 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)' 제30조에서 정한 개인정보 제3자 제공현황 등의 공개를 요구할 수 있는 이용자의 권리를 행사할 수 없도록 하는 것은 우리나라 현행법상의 강행규정에 어긋난다"며 "따라서 구글은 이용자들이 요청하는 경우 특별한 사정이 없는 한 개인정보 등을 공개할 의무가 있다"고 판시했다. 하지만 손해배상책임은 인정하지 않았다. 재판부는 "현황 공개 요청에 필요한 조치를 하지 않았다는 사정만으로 재산상·정신적 손해를 입었다고 보기 어렵다"고 설명했다. 원고 6명 가운데 구글이 제공하는 개인메일을 이용하지 않고 기업메일 서비스만 이용하고 있는 2명의 청구도 각하했다. 기업메일 서비스는 국제사법이 정하고 있는 소비자계약의 보호대상인 '직업 또는 영업활동 외의 목적으로 체결되는 계약'에 해당하지 않는다는 이유다. 재판부는 "원고 가운데 김씨 등 2명은 구글에서 정한 약관에 따라 미국 캘리포니아주 산타클라라 카운티의 연방 또는 주법원에서만 소를 제기할 수 있다"고 밝혔다. 오씨 등은 지난해 2월 구글에 '제3자에게 개인정보 등을 제공한 사실이 있는지 여부와 제3자에게 관련 정보를 제공했다면 그 내역을 달라'며 요청서를 보냈지만 답변을 듣지 못했다. 오씨 등은 석달 뒤 다시 요청서를 보냈지만 응답이 없자 소송을 냈다.

자본시장과 금융투자업에 관한 법률(자본시장법)이 실질주주명부의 열람·등사와 관련한 규정을 두고 있지 않더라도 주주는 언제든 회사를 상대로 실질주주명부에 대한 열람·등사를 청구할 수 있다는 판결이 나왔다. 실질주주란 주식을 취득했지만 주권을 소유하지 않고 증권회사나 한국예탁결제원 등 수탁기관에 맡겨 놓고 있는 주주를 말한다. 자본시장법은 회사가 실질주주명부를 작성해 비치하도록 하고 있지만, 이에 대한 주주의 열람·등사 청구권한에 대해서는 별도의 규정을 두고 있지 않다. 주주와 회사채권자의 주주명부 열람·등사 청구권을 규정한 상법 제386조 2항을 유추적용할 수 있다는 취지다. 서울고법 민사16부(재판장 배광국 부장판사)는 경제개혁연대가 '4대강 살리기 사업' 담합 의혹을 받고 있는 대림산업을 상대로 낸 주주명부열람·등사 청구소송 항소심(2014나2052443)에서 "대림산업은 상법상 주주명부 및 자본시장법상 실질주주명부 중 '실질주주의 명칭과 주소, 전자우편, 실질주주별 주식 종류와 수' 기재 부분의 열람·등사를 허용하라"며 13일 1심과 같이 원고승소 판결했다. 재판부는 판결문에서 "대림산업은 경제개혁연대의 주주명부 열람·등사 청구가 오직 회사를 괴롭히기 위한 부당한 목적에 의한 것이라고 주장하지만, 이를 인정할 만한 증거가 없다"며 "대림산업은 주주와 회사채권자는 영업시간 내에 언제든지 주주명부 등에 대한 열람 또는 등사를 청구할 수 있다고 규정한 상법 제396조에 따라 주주명부의 열람·등사를 허용해야 한다"고 밝혔다. 재판부는 "주권상장법인의 경우 예탁결제원을 매개로 하는 대체결제 제도를 이용하고 있어 상법상 주주명부는 사실상 형해화돼 주식 보유현황을 나타내는 주주명부로서의 기능을 하지 못하고 있다"며 "주주명부의 기능을 보완하기 위해 작성된 실질주주명부에 대해 주주들의 접근을 허용하지 않는다면 주주에게 주주명부에 대한 열람·등사청구권을 인정한 상법 조항의 입법목적을 다할 수 없으므로 실질주주명부에 대한 열람·등사청구권을 인정할 필요가 있다"고 설명했다. 다만, 열람·등사 허용 범위는 개인정보 보호 문제 등을 감안해 '실질주주의 명칭과 주소, 전자우편주소, 실질주주별 주식의 종류와 수' 기재 부분으로 한정했다. 경제개혁연대는 지난 2013년 7월 대림산업이 4대강 살리기 1차 턴키공사 입찰 담합으로 과징금 처분을 받아 주주들에게 손해를 입혔다며 경영진을 상대로 주주대표소송을 내기로 하고, 소송에 참여할 주주 모집을 위해 실질 주주명부를 포함한 주주명부의 열람·등사를 허용해달라고 회사에 요구했지만 거부당하자 소송을 냈다. 경제개혁연대는 삼성물산과 GS건설을 상대로도 같은 소송을 내 1심에서 승소했으나, 건설사들이 항소해 서울고법이 심리 중이다.

온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 해당 업체에게 개인정보 유출에 대한 책임을 지우기 어렵다는 대법원의 첫 판결이 나왔다. 대법원 민사1부(주심 고영한 대법관)는 간모씨 등 개인정보가 유출된 옥션 고객 2만2650명이 옥션을 운영하는 ㈜이베이(소송대리 김앤장 법률사무소)와 이 회사의 보안관리업체 인포섹(소송대리 법무법인 남산)을 상대로 낸 손해배상 청구소송 상고심(2013다43994)에서 원고패소 판결한 원심을 12일 확정했다. 재판부는 "옥션의 보안기술 수준과 보안조치를 보면 회원들의 개인정보를 안전하게 지키기 위해 필요한 보호조치를 모두 다 한 것으로 보이기 때문에 회원 개인정보 유출에 대한 손해배상 책임을 인정하기 어렵다"고 밝혔다. 이에 대해 "인터넷의 특성상 모든 사이트는 해커의 불법적인 침입에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 어렵다"고 설명했다. 옥션은 2008년 1월 중국인 해커로부터 회원 1800만명의 이름과 주민등록번호, 주소, 아이디, 계좌번호 등 개인정보를 모두 해킹당했다. 옥션 회원 14만6601명은 "1명당 20만원씩 배상하라"며 역대 최대 규모의 집단소송을 냈다. 1·2심은 "옥션은 해킹사고를 방지하기 위해 기술적인 보호 조치를 다 했다"며 원고패소 판결했고 고객 2만2650명만이 상고했다.

자신의 개인정보를 수사기관에 제공했는지 알려달라는 요청을 거부한 이동통신사에 대해 법원이 수십만원의 손해배상책임을 인정했다. 서울고법 민사1부(재판장 김형두 부장판사)는 19일 서모씨 등 3명(대리인 법무법인 덕수, 이공)이 SK텔레콤, KT, LG U+ 등 통신3사를 상대로 낸 공개청구 및 손해배상청구소송 항소심(2014나2020811)에서 "원고들에게 20만원~30만원씩 지급하라"며 원고 일부승소판결을 내렸다. 이는 통신3사에 대해 개인정보 제공사실 공개 책임은 인정했지만 손해배상 책임은 인정하지 않은 원심 판단을 일부 뒤집은 것이다. 재판부는 판결문에서 "통신 가입자는 개인정보자기결정권과 관련해 개인정보 처리 여부를 확인할 권리가 있다"며 "통신사는 가입자의 개인정보를 제3자에게 제공한 현황을 공개할 의무가 있다"고 밝혔다. 재판부는 "통신자료 제공 현황을 공개하면 수사업무에 중대한 지장이 발생한다는 우려만으로 법적으로 보장되는 개인정보 자기결정권을 침해할 수는 없다"며 "수사 비밀 보장은 수사의 편의를 위한 것일 뿐이며 헌법상 기본권인 개인정보자기결정권 실현의 보호가치가 더 크다"고 강조했다. 재판부는 다만 "범죄를 저지른 자가 자기 자신에 대한 수사 개시 여부를 확인하기 위해 반복적, 지속적으로 공개를 청구하는 경우 이를 제한할 필요성은 있다"며 "이 부분은 법적 근거를 마련해 입법적으로 해결할 문제"라고 지적했다. 재판부는 "통신사가 개인정보 제공 사실 공개를 거부하거나 상당 기간 거부하다가 뒤늦게 공개한 행위는 불법행위를 구성한다"며 배상책임도 함께 인정했다. 다만 공공 목적의 통신자료 제공이라는 점 등을 위자료 액수 산정에 참작했다. 서씨 등은 지난 2013년 통신3사에 자신의 통신자료를 수사기관, 정보기관 등에 열람하게 했거나 제공한 사실이 있는지 알려달라고 요청했지만 거부당했다. 그러자 서씨 등은 "정보를 공개하고 100만원씩을 배상하라"며 법원에 소송을 냈다. 1심 재판부는 원고들의 통신자료 제공 현황 공개 청구는 받아들였지만, "막연한 불쾌감, 불안감을 느꼈을 뿐 금전으로 배상받을 만한 구체적인 정신적 손해를 입지 않았다"며 배상책임은 인정하지 않았다.

서울중앙지법 형사8단독 소병석 판사는 보안 조치를 하지 않아 고객 개인정보를 누출한 혐의로 기소된 일본계 대부업체 산와머니(법인명 산와대부) 이모(40) 대표이사에게 무죄를 선고했다고 17일 밝혔다(2012고단6164). 양벌 규정에 따라 함께 기소된 산와대부 법인에도 무죄를 선고했다. 소 판사는 판결문에서 "산와머니 인터넷 사이트에 침입한 정모씨 등 3명이 웹서버에 저장돼 있던 개인정보를 열람·조회하는 데 그치지 않고 이를 자신들의 컴퓨터 등에 저장한 사실이 검찰에 의해 충분히 입증됐다고 볼 수 없어 무죄를 선고한다"고 밝혔다. 소 판사는 "정보통신망법상 '개인정보의 누출'은 개인정보가 피고인의 지배 영역을 떠나 외부로 새어 나갔거나 불특정 다수에게 공개돼 열람할 수 있게 된 상태를 의미한다"며 "단순히 개인정보를 조회한 것만으로는 누출이 있었다고 보기 어렵고 이씨의 지배 영역 밖에 저장된 사실까지 인정돼야 누출이라고 볼 수 있다"고 설명했다. 이씨는 웹서버에 접근 통제장치를 설치하지 않고 암호화 기술 등을 이용해 보안 조치도 하지 않아 2011년 1~11월 정씨 등 3명이 개인정보 203만여건을 유출하도록 방치한 혐의로 지난해 11월 불구속 기소됐다.

SK커뮤니케이션즈(SK컴즈)는 해킹으로 회원 개인정보를 유출당한 네이트와 싸이월드 회원들에게 손해를 배상해야 한다는 판결이 나왔다. 해킹 피해자들이 SK컴즈를 상대로 낸 소송은 1심에서 법원별로 승패가 엇갈리고 있지만, 만약 피해자들이 최종 승소한다면 SK컴즈는 천문학적인 금액의 손해배상금을 물게 될 것으로 보인다. 개인정보가 유출된 피해자는 3500만명에 달하는 것으로 추산되고 있기 때문이다. 서울서부지법 민사12부(재판장 배호근 부장판사)는 15일 해킹 피해자 2882명이 SK커뮤니케이션즈를 상대로 낸 손해배상 청구소송(2011가합11733)에서 "원고 1인당 20만원씩 모두 5억 7640만원을 지급하라"며 원고일부승소 판결했다. 재판부는 "개인정보 3500만여건이 여러 단계를 거쳐 외부로 유출됐는데도 SK컴즈 탐지 시스템이 전혀 감지하지 못했으며, 기업형 알집보다 보안상 취약한 공개용 알집을 사용해 해킹이 더 쉽게 이뤄지도록 했다"며 "담당 직원이 로그아웃하지 않고 새벽까지 컴퓨터를 켜둬 해커가 쉽게 서버에 접근할 수 있도록 하는 등 개인정보 보호 업무를 소홀히 해 생긴 손해를 배상해야 한다"고 밝혔다. 그러나 피해자들이 이스트소프트, 시만텍코리아, 안랩 등 정보보안 업체를 상대로 낸 손해배상 청구는 기각했다. 재판부는 "이스트소프트의 알집 업데이트 서버가 변조돼 악성 프로그램이 생성되고 개인정보가 유출됐다는 사정이 인정되나 해킹에 이용됐다는 이유만으로 대량 개인정보 유출과 상당한 인과관계가 있다고 볼 수 없다"고 설명했다. 또 "시만텍코리아가 백신 업데이트를 소홀히 해 악성파일을 탐지하지 못했다고 인정할 근거가 부족하고 계약을 맺고 보안 업무를 담당하는 안랩에도 책임을 묻기 어렵다"고 덧붙였다. 2011년 7월 네이트와 싸이월드에서 회원들의 개인정보가 유출된 이후 피해자들은 인터넷에 '네이트 해킹 피해자 카페' 등을 개설한 뒤 결집해 집단 소송 여러 건을 냈다. 서울중앙지법은 지난해 11월 해킹 피해자 2847명이 SK컴즈, 이스트소프트 등과 국가를 상대로 낸 손해배상 청구소송(2011가합90267)에서 원고패소 판결했다. 그러나 앞서 4월 구미시법원은 해킹 피해자 유모씨가 SK컴즈를 상대로 낸 소송(2011가소17384)에서 "위자료 100만원을 지급하라"며 원고일부승소 판결을 내렸다.

'GS칼텍스 회원정보유출 사고' 피해자들이 GS칼텍스를 상대로 낸 집단소송에서 최종 패소했다. GS칼텍스 회원정보 유출사건은 1100만명이 넘는 사람들의 주민등록번호와 주소, 전화번호 등이 유출돼 사상 최대 규모의 개인정보 유출사고로 기록됐던 사건이다. 대법원 민사2부(주심 이상훈 대법관)는 26일 개인정보 유출 피해자 중 1,2심 판결에 불복해 상고한 김모씨 등 2200여명이 "개인정보 유출로 인한 위자료를 1인당 100만원씩 지급하라"며 GS칼텍스와 자회사 GS넥스테이션을 상대로 낸 손해배상 청구소송 상고심(2011다59834)에서 원고패소 판결한 원심을 확정했다. 재판부는 판결문에서 "김씨 등의 개인정보는 정모씨에 의해 유출된 후 편집과정을 거쳐 판매처 물색 부탁을 위한 목적으로 타인에게 전달 또는 복제됐고, 이후 집단소송을 위한 사전작업으로 언론관계자 등에게 유출됐지만 언론보도 직후 개인정보가 저장된 저장매체 등을 소지하고 있던 사건 관련자들로부터 모두 압수, 임의제출되거나 폐기됐다"며 "개인정보 저장매체가 유출됐다가 회수되거나 폐기되기까지 정씨 등 개인정보를 유출한 범인들이나 언론관계자들이 일부를 열람한 적은 있으나 그들 스스로 개인정보의 내용을 지득하거나 이용할 의사가 있었다고 보기는 어렵다"고 설명했다. 이어 "개인정보 유출로 인해 김씨 등에게 신원확인, 명의도용이나 추가적인 개인정보 유출 등 후속 피해가 발생했다고 볼만한 상황이 발견되지 않는 점 등을 고려하면 김씨 등에게 위자료로 배상할 만한 정신적 손해가 발생했다고 볼 수 없다"고 밝혔다. GS넥스테이션 직원이던 정씨는 2008년 7월 회사 서버에 접속해 보너스카드 회원 1151만여명의 이름, 주민번호 등 회원정보를 사무용 컴퓨터에 내려받은 뒤 DVD에 복사해 집단소송을 의뢰받은 변호사 등 몇몇 지인에게 건넸다. 정씨 등 정보유출에 관여한 5명은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 기소돼 실형 또는 집행유예가 확정됐다. 이후 정보 유출 피해자 2만8000여명은 GS칼텍스가 개인정보를 허술하게 관리해 정신적 피해를 봤다며 소송을 냈다. 1,2심은 "김씨 등의 개인정보 자기결정권이 침해됐거나 침해될 상당한 위험성이 발생했다는 점을 인정하기 어렵다"며 원고패소 판결했다.