G마켓이 해외 보안업체를 상대로 광고 클릭 데이터 유실에 따른 손해배상 청구 소송을 제기했지만 패소했다. 서울중앙지법 민사45부(재판장 김경수 부장판사)는 지난달 G마켓이 라드웨어코리아와 제이티시스템즈를 상대로 제기한 손해배상 소송에서 원고패소 판결했다(2021가합592311). 오픈마켓을 운영하는 ‘G마켓’은 마켓에 게시되는 제품의 광고료가 매출이다. 광고료 수입은 광고 클릭 수와 단가에 따라 산정된다. 이에 따라 G마켓은 광고 클릭 데이터와 서버를 보호하기 위한 보안 시스템을 구축해 왔다. G마켓은 2013년 라드웨어 본사가 제조한 보안장비 제품을 서버에 설치했다. 2017년에는 라드웨어 본사가 제조한 보안 제품을 제이티시스템즈로부터 공급받는 계약을 제이티시스템즈와 체결했다. 제이티시스템즈는 2017~2021년 G마켓 시스템에 대한 유지 보수 업무를 수행하기도 했다. 2021년 5월 G마켓은 대규모 할인 행사를 진행했다. 그런데 당시 사이트 방문자 수, 판매 매출이 크게 증가했는데도 광고 매출이 예상에 못미쳤다. 조사 결과 접속자가 광고를 클릭해도 데이터가 서버로 전달되지 않는 현상이 확인됐다. 광고 클릭 데이터의 URL 길이가 1236 bytes(바이츠)를 초과하는 경우 고객이 클릭한 URL 주소가 제대로 처리되지 않는 현상(URL 길이 제한)이 파악됐다. 같은 해 G마켓은 “라드웨어코리아와 제이티시스템즈가 공급한 보안 장비가 동작하면서 특정 URL을 처리하지 못하는 결함이 있었다. 이로 인해 광고 클릭 데이터가 누락돼 광고수수료 손해가 발생했다”며 약 16억 원을 배상하라고 주장했다. 재판부는 G마켓의 주장을 받아들이지 않았다. 재판부는 “이 사건 제품에 URL 길이 제한이 존재하는 것은 국제 표준 통신 규약 기준에 부합하도록 설계되었기 때문”이라며 “설계상 결함에 해당한다거나 그 밖에 통상적으로 기대되는 안정성이 결여됐다고 할 수 없다”고 판단했다. 또 “(사용자가 하나의 패킷에서) 실제로 전송 가능한 URL 길이는 대략 1200~1230 bytes 정도라는 점은 네트워크 보안 운영 담당자 등 업계 사람들에게 일반적으로 알려져 있는 내용으로 보인다”며 “URL의 길이는 G마켓과 같이 인터넷사이트를 운영하는 서비스제공자 측에서 설계하는 것”이라고 말했다. 이어 “(G마켓은) URL 데이터를 일정 bytes 이하로 설정함으로써 광고 클릭 데이터가 유실되는 문제를 회피할 수 있다”고 덧붙였다. 앞서 라드웨어코리아가 G마켓에 해당 문제를 보고했을 때, G마켓은 보완을 요청하지 않았고 관련 문제를 놓치고 있었다는 반응을 보였다는 점도 고려됐다. G마켓은 최근 제이티시스템즈를 상대로 항소했다. 라드웨어코리아에 대한 판결은 확정됐다. 라드웨어코리아를 대리한 법무법인 화우는 사건을 총괄한 이광욱(53·사법연수원 28기)·우수연(46·35기) 변호사·김명안 국제중재소송팀 팀장, 서울중앙지법 기술전문조사관 출신의 최홍석(46·변호사시험 1회) 변호사, 디도스에 대한 세부 검토를 맡은 박성현(31·10회) 변호사의 협업으로 승소를 이끌었다. 사건 대응을 함께하며 라드웨어 이스라엘 본사와 소통한 김명안 외국변호사(미국 캘리포니아주)는 “이스라엘 관습법 체계에 익숙한 의뢰인과의 정확한 소통, 국내 팀과의 공조 등이 성공적인 분쟁 해결의 발판이 됐다”며 “보안 소프트웨어 제품 하자 분쟁에 대한 국제적 선례가 마련된 점에 보람을 느낀다”고 했다.

김태한 전 삼성바이오로직스 대표 <사진=연합뉴스> 삼성바이오로직스 상장 과정에서 회사 자금을 횡령하고 분식회계를 은폐하기 위해 관련 증거 인멸을 지시한 혐의로 기소된 김태한 전 삼성바이오로직스 대표가 1심에서 무죄를 선고받았다. 서울중앙지법 형사25-2부(재판장 박정제, 지귀연, 박정길 부장판사)는 14일 증거인멸교사 등 혐의로 재판에 넘겨진 김 전 대표와 안중현 삼성글로벌리서치 사장(전 삼성전자 부사장)에게 무죄를 선고했다(2020고합824). 함께 기소된 김동중 경영지원센터장(부사장)은 증거인멸 혐의가 유죄로 인정돼 징역 1년에 집행유예 2년을 선고받았다. 김 부사장의 횡령 혐의는 무죄로 판단했다. 재판부는 바이오로직스 서버와 바이오에피스 서버 등에서 복제 출력된 증거들이 위법 수집됐다는 변호인들의 주장을 받아들여, 일부 증거에 대해 유죄의 증거로 사용할 수 없다고 판단했다. 특히 지난 5일 같은 재판부가 선고한 이재용 삼성전자 회장 등의 사건에서 적법절차를 거쳤다는 점을 검사가 입증하지 못해 증거로 사용할 수 없다는 부분을 언급했다. 앞서 이 회장 등의 사건에서도 재판부는 수사 당국이 압수한 증거 중 혐의사실과 관련한 것만 선별하는 절차를 거치지 않았고, 압수한 일부 증거는 영장에 기재된 혐의사실과 관련성이 없다고 판단했다. 재판부는 "해당 판결에서 로직스 서버와 에피스 서버 전자정보 중 관련 전자정보를 선별하는 절차를 거쳤어야 하나 그런 절차가 이뤄지지 않았고, 출력 과정에서 변호인 참여가 보장되지 않아 검사가 제출한 증거들의 증거능력이 없다고 봤다"며 "이 사건에서도 적법절차를 거쳤다는 것을 검사가 입증하지 못해 모두 위법수집증거에 해당해 유죄의 증거로 사용할 수 없다"고 밝혔다. 재판부는 김 대표의 증거인멸 교사 및 횡령 혐의를 인정할 수 없다고 판단했다. 재판부는 "대책회의 당시 김 대표가 자료 삭제에 동의했다는 점과 증거인멸 교사에 가담했다는 점이 합리적인 의심없이 증명됐다고 보기 어렵다"고 밝혔다. 이어 "주된 증거에 해당하는 전자정보에 대한 증거능력이 없어 유죄의 증거로 사용하기 어렵다"며 "(횡령 혐의와 관련해) 차액 계산 과정에서 절차적 하자가 있던 것으로 보이기는 하나 차액 보상을 통해 임직원 간 형평을 맞추려 한 점 등 차액 보상의 필요성과 정당성이 인정된다"고 설명했다. 그러면서 "검사가 제출한 증거만으로는 김 대표 등의 횡령의 고의 및 불법의 영득 의사를 가지고 횡령했다고 보기 어렵다"고 판시했다. 다만 김동중 부사장의 증거인멸 교사에 대해서는 "김 부사장은 로직스 임직원들에게 관련 자료 삭제를 지시했다"며 유죄로 판단했다. 재판부는 "에피스 임직원들에게도 삭제를 지시해 임직원의 컴퓨터에 저장된 정보와 휴대전화 메시지 등 로직스 회계부정 의혹들에 대한 방대한 양의 정보를 삭제하게 한 사안으로 죄책이 결코 가볍지 않다"며 "범행의 수단과 방법, 삭제·은닉된 자료의 양, 로직스 경영지원센터장으로서 증거인멸을 사실상 총괄한 것으로 보이는 점은 불리한 정상"이라고 밝혔다. 검찰에 따르면 김 전 대표와 김 부사장은 2016년 11월경 삼성바이오로직스 상장 당시 회사 주식을 개인적으로 사들이고 매입비용과 우리사주조합 공모가 차액을 현금으로 받아 각각 36억 원, 11억 원을 횡령한 혐의를 받는다. 이 회장의 경영권 승계를 위한 삼성물산과 제일모직의 부당합병 및 로직스 분식회계 과정을 은폐하고자 그룹 차원에서 벌인 조직적 증거인멸에 가담한 혐의도 있다.

한국 이용자의 접속 속도를 떨어뜨려 방송통신위원회(방통위)로부터 4억여 원의 과징금 납부를 명령받은 페이스북이 처분에 불복해 낸 취소소송에서 최종 승소했다. 대법원 특별2부(주심 이동원 대법관)는 21일 페이스북 아일랜드 리미티드가 방통위를 상대로 낸 시정명령 등 처분 취소청구 소송 상고심에서 원심의 원고승소 판결을 유지했다(2020두50348). 방통위는 2018년 3월 페이스북이 국내 통신사 SK텔레콤과 LG유플러스의 일부 인터넷 접속경로를 국내 서버에서 해외 서버 등으로 임의로 변경해 국내 이용자들의 접속 속도가 저하되는 피해가 발생했다며 과징금 3억9600만 원을 부과하고 시정명령과 업무처리절차 개선을 명령했다. 이에 페이스북은 같은 해 5월 방통위를 상대로 시정명령 등의 처분을 취소해달라는 행정소송을 냈다. 페이스북의 접속경로 변경이 구 전기통신사업법상 '정당한 사유 없이 전기통신서비스의 이용을 제한하는 행위'에 해당하는지 여부가 사건의 쟁점이었다. 1·2심은 방통위 처분이 부당하다며 원고 승소 판결했다. 2심 재판부는 "페이스북의 접속경로 변경행위는 사건의 쟁점 조항인 '이용의 제한’에는 해당하나, 전기통신서비스의 이용을 지체했거나 이용에 불편을 초래하는 행위에서 더 나아가 페이스북 이용자들의 이익을 현저히 해치는 방식으로 서비스를 제공하는 행위에 해당한다고 보기는 어렵다"며 "방통위의 처분은 사유가 존재하지 않아 위법하다"고 판결했다. 대법원은 "이용 자체는 가능하나 이용이 지연되거나 이용에 불편이 초래된 경우는 '이용의 제한'에 해당한다고 보기 어렵다"고 밝혔다. 이어 "CP(콘텐츠 제공사업자)가 자신이 제공하는 콘텐츠로의 과다 접속에 따른 다량의 트래픽을 효율적으로 전송, 처리하기 위해 접속경로 변경을 선택하는 경우도 많고 결코 이례적이라고 보기 어렵다"며 "CP의 접속경로 변경행위는 합리적 의사결정에 따른 것으로 영업상 허용되는 범위 내에 있을 여지도 다분하다"고 밝혔다. 그러면서 "2020년 개정된 전기통신사업법에 따라 부가통신사업자는 이용자에게 편리하고 안정적인 전기통신서비스를 제공하기 위하여 서비스 안정수단의 확보, 이용자 요구사항 처리 등 필요한 조치를 취할 의무를 부담한다"면서도 "개정 전의 전기통신사업법은 CP의 일방적인 접속경로 변경행위에 대한 규제 또는 규율의 법적 공백이 있었다고 볼 여지가 있다"고 판시했다. 대법원 관계자는 "해당 판결은, CP의 접속경로 변경행위로 전기통신이용자들의 서비스 이용에 다소간의 지연이나 불편 등이 초래되거나 서비스 품질이 저하되더라도 이용자의 이용을 일정 부분 금지하는 수준에 이르지 않고 이용 자체는 가능했던 점, 2020년 6월경에야 대형 CP에 서비스 안정성 의무를 부여하는 규정이 신설된 점 등을 근거로 CP의 접속경로 변경행위는 원칙적으로 전기통신사업법상 금지되는 이용제한에 해당하지 않는다는 점을 최초로 설시했다"며 판결의 의의를 설명했다.

해킹에 의한 개인정보 유출 사고로 피해를 입은 고객들이 케이티(KT)를 상대로 낸 손해배상 청구소송에서 법원이 엇갈린 판결을 내려 항소심 판단이 주목된다. 인터넷이라는 특성상 모든 사이트가 해커의 불법적인 침입에 노출될 수밖에 없고 완벽한 보안을 갖춘다는 것은 어렵다고 판단한 재판부가 있는 반면, 정보통신업체는 사회통념상 요구되는 수준 이상의 보호조치를 다해야 한다면서 보다 큰 책임을 강조한 재판부도 있다. 서울중앙지법 민사6단독 심창섭 판사는 17일 A씨 등 39명이 KT를 상대로 낸 손해배상 청구소송(2014가소413127)에서 "KT는 1인당 10만원씩 지급하라"며 원고일부승소 판결했다. 2013년 8월부터 2014년 2월까지 KT가 운영하는 마이올레 홈페이지에서 해킹 사고가 발생해 개인정보가 대거 유출됐다. 해커는 이 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력하는 해킹프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 빼냈다. 이에 A씨 등은 2014년 5월 "KT의 관리감독 부실로 개인정보가 유출됐다"며 "1인당 20만원을 배상하라"며 소송을 냈다. 심 판사는 "정보통신서비스 제공자는 사회통념상 합리적으로 기대 가능한 기술수준으로 개인정보를 관리하고 있지만 해커들은 항상 기술수준을 뛰어넘는 방법을 사용한다"며 "KT가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 기술적·관리적 보호조치를 한 것만으로 개인정보의 안전성 확보에 필요한 조치를 다했다고 볼 수 없다"고 밝혔다. 이어 "KT는 7개월간에 걸쳐 1170만건의 개인정보 유출이 이뤄졌는데도 이를 확인하지 못했다"며 "보안관련 인력을 보강하거나 서버를 외부접속용과 내부 접속용으로 분리하는 등 해킹 사고를 방지하기 위한 조치도 취하지 않았다"고 지적했다. 그러나 지난달 20일 서울중앙지법 민사22부(재판장 전지원 부장판사)는 B씨 등 같은 피해를 당한 3645명이 KT를 상대로 낸 손해배상 청구소송(2014가합553622)에서 원고패소 판결했다. 재판부는 "정보통신서비스 제공자가 법에서 정하고 있는 기술적·관리적 보호조치를 다했다면 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 보기 어렵다"고 밝혔다. 이어 "하루 접속 건수가 3300만여건에 이르는 마이올레 홈페이지의 시스템과 같이 방대한 규모의 모든 웹서버 접속 로그 기록을 실시간 분석하거나 상시적으로 사후 분석하는 것은 현실적으로 불가능하다"며 "해커 접속(34만건)은 1% 미만이어서 이상행위를 탐지하기도 어려웠다"고 설명했다. 그러면서 "개인정보 등을 송·수신할 때 암호화의 대상 범위는 일반인이 접근 가능한 인터넷 공중망을 의미한다"며 "해커가 암호화되지 않은 주민등록번호를 확인한 곳은 대리점 PC 내부 영역으로 정보통신망법상 암호화가 요구되는 영역이 아니다"라고 판시했다. 정보통신망법 시행령 제6조 3항은 정보통신서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다고 규정하고 있다. 앞서 대법원은 2015년 2월 KT와 유사하게 해킹에 의해 개인정보가 유출된 경매업체 옥션 사건에서 "온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 업체에 개인정보 유출에 대한 책임을 지우기 어렵다"고 판결했다(2013다43994). 한편 한국소비자원(원장 한견표)은 지난 20일 개인정보 유출 피해를 입은 KT 고객들이 "위약금 없이 서비스를 해지할 수 있도록 해달라"며 신청한 조정을 각하했다. 당시 KT는 개인정보 유출 피해를 본 고객들이 서비스를 해지하겠다고 하자 위약금을 규정대로 물려 사회적 비난을 받았다. 경실련은 2014년 7월 피해고객 57명과 함께 소비자원에 위약금을 물리지 않도록 집단분쟁조정을 신청했다. 그러나 소비자원은 "법에서 정한 최소한의 기술적·관리적 보호조치를 취했으므로 이용계약 해지에 귀책사유가 없고, 개인정보 유출로 재산적 피해는 발생하지 않았다"는 이유로 각하 결정했다. 이에 경실련은 "소비자원은 합리적 설명 없이 절차를 개시하지 않은 채 사건을 장기간 방치해, 다수 피해자가 어쩔 수 없이 해지 위약금을 부담하거나 남은 약정 기간을 채울 수밖에 없었다"며 소비자원에 대한 공익감사 청구와 행정소송 제기를 검토하겠다고 밝혔다.

소프트웨어를 사용하는 동안 프로그램의 일부가 일시적으로 컴퓨터 메모리에 저장되는 '일시적 저장'도 저작권법상의 복제로 봐야 하기 때문에 저작권료를 내야 하는 프로그램 사용으로 봐야 한다는 국내 첫 판결이 나왔다. 이 판결에 따르면 무료였던 소프트웨어가 유료로 전환된 경우 기업을 포함한 사용자들은 프로그램을 사용할 때 컴퓨터가 자동으로 복제하는 데 따른 저작권료를 내야 하므로 주의해야 할 것으로 보인다. ◇'일시적 복제'도 저작권 침해= 서울중앙지법 민사12부(재판장 홍이표 부장판사)는 최근 컴퓨터 화면 캡쳐 프로그램을 사용하던 넥센타이어와 한국전기안전공사 등 국내 기업 175개사가 ㈜ISDK사를 상대로 낸 채무부존재 확인소송(2013가합25649)에서 원고일부승소 판결을 했다. 재판부는 판결문에서 "기존 프로그램을 업데이트 하는 행위 자체는 저작권법이 금지하는 복제에 해당하지 않지만, 업데이트한 프로그램을 사용하면서 프로그램 일부가 컴퓨터 메모리에 저장되는 것은 복제에 해당한다"며 "넥센타이어 등 원고들은 ISDK사에 프로그램 1개당 2만원씩의 사용료를 지급하라"고 밝혔다. 재판부는 프로그램을 실행하는 동안 프로그램 일부가 사용자 컴퓨터 메모리에 잠깐 동안 저장되는 현상은 저작권법이 금지하는 '복제'에 해당한다고 판단했다. 일시적 저장은 컴퓨터 프로그램이 구동될 때 컴퓨터 메모리에 입력돼 메모리 공간을 차지하는 현상을 뜻한다. 재판부는 "프로그램이 실행 과정에서 메모리에 지속적으로 탑재돼 존재하고 있음이 기술적으로 명백하고 이것은 유형물인 반도체에 일시적이나마 전기적인 형태로 고정되는 것을 의미하는 것"이라며 "저작권법은 저작물 전부에 대한 복제뿐만 아니라 부분적인 복제도 금지하고 있으므로 사용자들이 이 사건 프로그램에 대한 저작재산권 중 복제권을 침해한 것으로 봄이 상당하다"고 설명했다. 이에 대해 기업 측은 "이용 과정에서 어쩔 수 없이 발생하는 현상인 일시적인 메모리 저장을 복제라고 볼 수 없다"고 주장했지만 받아들여지지 않았다. 재판부는 "기업들은 저작권법이 저작물의 원활한 정보처리를 위한 일시적 복제는 허용하고 있다고 주장하지만, 이 면책 규정은 디지털화된 저작물(영상물)을 송신받아 이용하거나 컴퓨터 내의 저장매체 등을 이용할 때 적용할 수 있는 규정이지 컴퓨터 프로그램을 이용하는 과정에서 발생하는 일시적 저장에는 적용할 수 없다"고 밝혔다. ◇'일시적 저장' 왜 문제되나= 이번 판결이 주목받는 이유는 '일시적 저장'을 저작권 침해라고 본 첫 사례이기 때문이다. 프로그램을 사용하게 되면 어쩔 수 없이 컴퓨터 메모리에 프로그램을 일시적으로 저장하게 되는데, 이것을 복제로 보게 된다면 사실상 프로그램을 사용하는 것만으로도 저작권법상 '복제권' 침해가 인정되기 때문에 사용료를 지불해야 한다. 이번 사건에서 기업 측을 대리한 최주선(29·사법연수원 42기) 법무법인 민후 변호사는 "우리나라는 일시적 저장에 대해 저작권 침해가 아니라는 입장이었으나, 한미FTA 체결 과정에서 저작권법에 '일시적'이라는 단어가 포함되면서 일시적 저장을 복제로 해석할 가능성이 생겼다"고 말했다. 한미FTA로 저작권법 규정에 '일시적'이라는 단어가 도입되기 전까지는 '일시적 저장'을 복제로 볼 것인지에 대해 우리 법원의 판단이 없었고 외국에서도 판단이 갈리고 있어 통일된 기준이 없었다. 영국 대법원은 지난해 4월 인터넷 검색 과정에서 일부가 컴퓨터에 저장되는 '일시적 복제'는 저작권 적용 대상에서 제외해야 한다고 판단했다. 미국도 일시적 복제에 대해 저작권을 보호해야 한다는 입장이었다가 최근 '전체 저작물 중 일부가 극히 순간적으로 저장되는 경우에는 복제에 해당하지 않는다'는 판단을 내린 바 있다. ◇9년간 무료로 쓰던 프로그램에 660여만원 사용료 부과되자 법정싸움= 이번 사건 처럼 처음에는 무료로 배포됐다가 나중에 유료화된 프로그램을 사용할 경우 분쟁이 일어날 소지가 크다. 이번 소송도 컴퓨터 화면 캡쳐 프로그램인 '오픈캡쳐'가 무료에서 유료로 바뀌면서 불거졌다. 오픈캡쳐는 국내에서 많이 사용되는 무료 프로그램이었다. 인터넷에서 간단한 검색을 통해 쉽게 설치할 수 있어 많은 기업이 이 프로그램을 업무에 사용했다. ISDK는 2012년 4월 오픈캡쳐의 저작권을 사들인 뒤 국내 사용 기업들을 대상으로 유료화를 천명했고, 서버비 550만원과 한 프로그램 당 사용료 110만원을 지불하라고 청구했다. 금액을 청구받은 기업 대부분은 오픈캡쳐의 유료화 사실을 인지하지 못했고, "저작권 괴물이 횡포를 부린다"며 반발하며 소송을 냈다.

서울중앙지법 형사8단독 소병석 판사는 보안 조치를 하지 않아 고객 개인정보를 누출한 혐의로 기소된 일본계 대부업체 산와머니(법인명 산와대부) 이모(40) 대표이사에게 무죄를 선고했다고 17일 밝혔다(2012고단6164). 양벌 규정에 따라 함께 기소된 산와대부 법인에도 무죄를 선고했다. 소 판사는 판결문에서 "산와머니 인터넷 사이트에 침입한 정모씨 등 3명이 웹서버에 저장돼 있던 개인정보를 열람·조회하는 데 그치지 않고 이를 자신들의 컴퓨터 등에 저장한 사실이 검찰에 의해 충분히 입증됐다고 볼 수 없어 무죄를 선고한다"고 밝혔다. 소 판사는 "정보통신망법상 '개인정보의 누출'은 개인정보가 피고인의 지배 영역을 떠나 외부로 새어 나갔거나 불특정 다수에게 공개돼 열람할 수 있게 된 상태를 의미한다"며 "단순히 개인정보를 조회한 것만으로는 누출이 있었다고 보기 어렵고 이씨의 지배 영역 밖에 저장된 사실까지 인정돼야 누출이라고 볼 수 있다"고 설명했다. 이씨는 웹서버에 접근 통제장치를 설치하지 않고 암호화 기술 등을 이용해 보안 조치도 하지 않아 2011년 1~11월 정씨 등 3명이 개인정보 203만여건을 유출하도록 방치한 혐의로 지난해 11월 불구속 기소됐다.

SK커뮤니케이션즈(SK컴즈)는 해킹으로 회원 개인정보를 유출당한 네이트와 싸이월드 회원들에게 손해를 배상해야 한다는 판결이 나왔다. 해킹 피해자들이 SK컴즈를 상대로 낸 소송은 1심에서 법원별로 승패가 엇갈리고 있지만, 만약 피해자들이 최종 승소한다면 SK컴즈는 천문학적인 금액의 손해배상금을 물게 될 것으로 보인다. 개인정보가 유출된 피해자는 3500만명에 달하는 것으로 추산되고 있기 때문이다. 서울서부지법 민사12부(재판장 배호근 부장판사)는 15일 해킹 피해자 2882명이 SK커뮤니케이션즈를 상대로 낸 손해배상 청구소송(2011가합11733)에서 "원고 1인당 20만원씩 모두 5억 7640만원을 지급하라"며 원고일부승소 판결했다. 재판부는 "개인정보 3500만여건이 여러 단계를 거쳐 외부로 유출됐는데도 SK컴즈 탐지 시스템이 전혀 감지하지 못했으며, 기업형 알집보다 보안상 취약한 공개용 알집을 사용해 해킹이 더 쉽게 이뤄지도록 했다"며 "담당 직원이 로그아웃하지 않고 새벽까지 컴퓨터를 켜둬 해커가 쉽게 서버에 접근할 수 있도록 하는 등 개인정보 보호 업무를 소홀히 해 생긴 손해를 배상해야 한다"고 밝혔다. 그러나 피해자들이 이스트소프트, 시만텍코리아, 안랩 등 정보보안 업체를 상대로 낸 손해배상 청구는 기각했다. 재판부는 "이스트소프트의 알집 업데이트 서버가 변조돼 악성 프로그램이 생성되고 개인정보가 유출됐다는 사정이 인정되나 해킹에 이용됐다는 이유만으로 대량 개인정보 유출과 상당한 인과관계가 있다고 볼 수 없다"고 설명했다. 또 "시만텍코리아가 백신 업데이트를 소홀히 해 악성파일을 탐지하지 못했다고 인정할 근거가 부족하고 계약을 맺고 보안 업무를 담당하는 안랩에도 책임을 묻기 어렵다"고 덧붙였다. 2011년 7월 네이트와 싸이월드에서 회원들의 개인정보가 유출된 이후 피해자들은 인터넷에 '네이트 해킹 피해자 카페' 등을 개설한 뒤 결집해 집단 소송 여러 건을 냈다. 서울중앙지법은 지난해 11월 해킹 피해자 2847명이 SK컴즈, 이스트소프트 등과 국가를 상대로 낸 손해배상 청구소송(2011가합90267)에서 원고패소 판결했다. 그러나 앞서 4월 구미시법원은 해킹 피해자 유모씨가 SK컴즈를 상대로 낸 소송(2011가소17384)에서 "위자료 100만원을 지급하라"며 원고일부승소 판결을 내렸다.

'GS칼텍스 회원정보유출 사고' 피해자들이 GS칼텍스를 상대로 낸 집단소송에서 최종 패소했다. GS칼텍스 회원정보 유출사건은 1100만명이 넘는 사람들의 주민등록번호와 주소, 전화번호 등이 유출돼 사상 최대 규모의 개인정보 유출사고로 기록됐던 사건이다. 대법원 민사2부(주심 이상훈 대법관)는 26일 개인정보 유출 피해자 중 1,2심 판결에 불복해 상고한 김모씨 등 2200여명이 "개인정보 유출로 인한 위자료를 1인당 100만원씩 지급하라"며 GS칼텍스와 자회사 GS넥스테이션을 상대로 낸 손해배상 청구소송 상고심(2011다59834)에서 원고패소 판결한 원심을 확정했다. 재판부는 판결문에서 "김씨 등의 개인정보는 정모씨에 의해 유출된 후 편집과정을 거쳐 판매처 물색 부탁을 위한 목적으로 타인에게 전달 또는 복제됐고, 이후 집단소송을 위한 사전작업으로 언론관계자 등에게 유출됐지만 언론보도 직후 개인정보가 저장된 저장매체 등을 소지하고 있던 사건 관련자들로부터 모두 압수, 임의제출되거나 폐기됐다"며 "개인정보 저장매체가 유출됐다가 회수되거나 폐기되기까지 정씨 등 개인정보를 유출한 범인들이나 언론관계자들이 일부를 열람한 적은 있으나 그들 스스로 개인정보의 내용을 지득하거나 이용할 의사가 있었다고 보기는 어렵다"고 설명했다. 이어 "개인정보 유출로 인해 김씨 등에게 신원확인, 명의도용이나 추가적인 개인정보 유출 등 후속 피해가 발생했다고 볼만한 상황이 발견되지 않는 점 등을 고려하면 김씨 등에게 위자료로 배상할 만한 정신적 손해가 발생했다고 볼 수 없다"고 밝혔다. GS넥스테이션 직원이던 정씨는 2008년 7월 회사 서버에 접속해 보너스카드 회원 1151만여명의 이름, 주민번호 등 회원정보를 사무용 컴퓨터에 내려받은 뒤 DVD에 복사해 집단소송을 의뢰받은 변호사 등 몇몇 지인에게 건넸다. 정씨 등 정보유출에 관여한 5명은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 기소돼 실형 또는 집행유예가 확정됐다. 이후 정보 유출 피해자 2만8000여명은 GS칼텍스가 개인정보를 허술하게 관리해 정신적 피해를 봤다며 소송을 냈다. 1,2심은 "김씨 등의 개인정보 자기결정권이 침해됐거나 침해될 상당한 위험성이 발생했다는 점을 인정하기 어렵다"며 원고패소 판결했다.

지난달 28일 네이트와 싸이월드에 대한 해킹사실이 알려지면서 개인정보 유출 집단소송 커뮤니티가 급증하고 있다. 해킹 피해자가 3500만명에 이르기 때문에 소송에 대한 관심은 계속 높아지는 상황이다. 소송과 관련해 위자료와 재산상 손해배상 가운데 무엇을 청구할 것인지, 업체의 과실은 무엇을 기준으로 판단할 것인지, 주민번호 보유도 과실인지 하는 점 등이 쟁점이 될 것으로 보인다. 소송을 준비하는 측은 부실한 보안관리가 원인이므로 SK커뮤니케이션즈에 배상책임이 인정된다고 주장하고 있지만, SK커뮤니케이션즈가 해킹 방지가 현재의 기술력으로 불가능했다는 점을 입증할 경우 승소 가능성을 점치기 어려운 상황이다. ◇ 집단 소송 카페 봇물= 네이트와 싸이월드 정보유출 후 네이버와 다음 등 포털 사이트에는 한 달여 사이 20개가 넘는 네이트 개인정보 유출 집단소송 준비 카페가 개설됐다. 200~300명 내외의 소규모 카페도 있지만 일부는 이미 회원 수가 8만명을 넘는 것으로 알려졌다. 대부분의 까페가 1만~2만원의 소송비용을 공지하고 있는 것을 감안하면 모든 회원이 소송에 참여할 경우 해당 변호사는 산술적으로는 8억원의 수임료를 받을 수 있는 상황이다. ◇ "지급명령은 법적으로 의미 없어"= 개별적인 손해배상 청구소송은 이미 시작됐다. 지난달 29일 A모(40) 변호사가 "300만원을 지급하라"며 서울중앙지법에 첫 손해배상청구소송(2011가소1956930)을 제기한 바 있고, 서울중앙지법은 B모(25)씨가 지난 1일 SK컴즈를 상대로 낸 지급명령 신청에 대해 12일 100만원의 지급명령을 내린 바 있다. 이에 대해 서초동의 K변호사는 "지급명령은 신청자의 신청 내용 그대로 법원이 명령을 내리는 제도인데다 2주 안에 상대방이 이의를 제기하면 확정이 되지 않기 때문에 큰 의미는 없다"고 지적했다. SK컴즈는 지급 거부 의사를 밝혀 배상책임 유무는 본안소송에서 판가름 날 전망이다. ◇ 위자료·재산상 손해배상은=정보유출과 관련해 먼저 문제가 되는 것은 손해배상의 종류다. 만약 정신적 피해를 구하는 위자료를 청구할 경우 법원은 정액으로 150~200만원 정도로 인정할 가능성이 높지만, 재산상 손해의 경우 입증이 어렵다는 점에서 피해자측 소송대리인이 재산상 손해배상을 청구할 가능성은 낮아 보인다. ◇ '당대의 기술수준'으로 해킹 방어 가능한가= 다음으로 문제가 되는 것은 관리자로서 SK컴즈의 과실 성립 여부다. 형사사건과 달리 민사소송에서 과실여부는 무거운가 가벼운가를 따지지 않기 때문에 소송 진행과정에서 과실의 성립여부 자체를 놓고 다투게 될 전망이다. 이에 대해 IT 분야 전문가인 C변호사는 "정보유출이 해킹으로 인한 것이라고 가정한다면 관리자가 충분한 암호화 기술을 사용했는지, 서버의 방화벽이 제대로 구축돼 있는지가 쟁점이 된다"고 말했다. 암호화 기술이 충분하다면 유출된 개인정보가 안전할 것이고, 서버의 방화벽이 충분히 구축돼 있었다면 통상적 해킹기술로는 해킹이 불가능하기 때문이다. C변호사는 이어 "결국 당대 최고수준의 기술적·경제적 조치를 취했느냐가 쟁점이고, 피해자측은 충분한 보안조치가 없었다는 점을, 업체측은 더 이상의 보안방법은 없었다는 점을 입증하려 할 것"이라고 예상했다. ◇ 주민번호 보유도 과실인가= 업체가 필요하지 않은 개인정보를 보유하고 있었던 것은 아닌지 하는 점도 쟁점이다. 하지만 법령상 주민번호 보유가 금지된 것은 아니기 때문에 관리자의 과실로 평가되기는 어려울 전망이다. 법령에서 아이핀(i-PIN)의 사용을 권고하고 있기는 하지만 업체로서는 주민번호를 삭제할 의무가 있는 것은 아니다. 소송 진행과정에서는 SK컴즈 측은 앞으로의 보호방안 대책을 내세우며 이 문제를 피해갈 것으로 보인다. ◇ 소송 전망은= 개인정보 유출과 관련해서는 법원의 판결이 엇갈리고 있기 때문에 결과를 예측하기는 힘들다. 법원은 2008년 옥션의 개인정보 유출 사건에 대해 옥션의 피해배상 책임을 인정하지 않은 바 있다. 이러한 전례에 비춰보면 피해자들로서는 업체측의 과실을 통상적인 손해배상소송과 마찬가지 수준으로 입증하기 어려울 수도 있다. 이에 대해 C변호사는 "법원이 과실인정 요건을 완화하고 10만~20만원 정도의 소액의 손해배상액을 인정할 가능성도 있다"고 조심스럽게 예측했다.

애플사의 아이폰 사용자 위치정보 수집행위에 대해 지난 5월 창원지법이 위자료 지급 결정(2011차1202)을 내린 지 석 달 만에 방송통신위원회(방통위)가 과태료 300만원과 시정명령을 내려 앞으로 벌어질 집단소송에 어떤 영향을 미칠지 관심이 쏠리고 있다. 당시 위자료를 지급받은 법무법인'미래로'김형석 변호사(36·사법연수원 38기)는 4일 기자와의 통화에서 "방통위 결정으로 애플 사의 위치정보 수집이 위법이라는 사실이 공식적이고 명백하게 확인이 돼 소송에 긍정적인 영향을 줄 것"이라고 밝혔다. 방통위는 지난 3일 "애플이 지난해 6월부터 올해 5월까지 일부 아이폰 사용자가 위치서비스를 끈 상태임에도 정보를 수집했고 수집된 정보를 암호화하지 않아 위치정보보호법을 위반했다"며 과태료 300만원 및 시정명령을 내렸다. 그러나 "개인을 식별할 수 있는 위치정보를 수집한 것은 아니다"라고 덧붙였다. 세계적으로 논란이 되고 있는 애플 사의 정보수집에 대해 제재를 한 것은 우리나라가 처음이다. 그러나 석제범 방통위 네트워크정책국장은 "미국 애플 본사를 방문해 조사한 결과 서버에 위치정보를 저장하고 있는 게 확인됐지만, 개인을 식별할 수 없는 형태여서 개인위치정보라고는 볼 수는 없다"는 견해를 밝혔다. 김 변호사는 2만 7000여명의 소송참가자를 모집했으며, 서울중앙지법과 창원지법에 애플의 한국법인인 애플코리아를 상대로 집단소송을 제기할 예정이다.