해킹에 의한 개인정보 유출 사고로 피해를 입은 고객들이 케이티(KT)를 상대로 낸 손해배상 청구소송에서 법원이 엇갈린 판결을 내려 항소심 판단이 주목된다. 인터넷이라는 특성상 모든 사이트가 해커의 불법적인 침입에 노출될 수밖에 없고 완벽한 보안을 갖춘다는 것은 어렵다고 판단한 재판부가 있는 반면, 정보통신업체는 사회통념상 요구되는 수준 이상의 보호조치를 다해야 한다면서 보다 큰 책임을 강조한 재판부도 있다. 서울중앙지법 민사6단독 심창섭 판사는 17일 A씨 등 39명이 KT를 상대로 낸 손해배상 청구소송(2014가소413127)에서 "KT는 1인당 10만원씩 지급하라"며 원고일부승소 판결했다. 2013년 8월부터 2014년 2월까지 KT가 운영하는 마이올레 홈페이지에서 해킹 사고가 발생해 개인정보가 대거 유출됐다. 해커는 이 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력하는 해킹프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 빼냈다. 이에 A씨 등은 2014년 5월 "KT의 관리감독 부실로 개인정보가 유출됐다"며 "1인당 20만원을 배상하라"며 소송을 냈다. 심 판사는 "정보통신서비스 제공자는 사회통념상 합리적으로 기대 가능한 기술수준으로 개인정보를 관리하고 있지만 해커들은 항상 기술수준을 뛰어넘는 방법을 사용한다"며 "KT가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 기술적·관리적 보호조치를 한 것만으로 개인정보의 안전성 확보에 필요한 조치를 다했다고 볼 수 없다"고 밝혔다. 이어 "KT는 7개월간에 걸쳐 1170만건의 개인정보 유출이 이뤄졌는데도 이를 확인하지 못했다"며 "보안관련 인력을 보강하거나 서버를 외부접속용과 내부 접속용으로 분리하는 등 해킹 사고를 방지하기 위한 조치도 취하지 않았다"고 지적했다. 그러나 지난달 20일 서울중앙지법 민사22부(재판장 전지원 부장판사)는 B씨 등 같은 피해를 당한 3645명이 KT를 상대로 낸 손해배상 청구소송(2014가합553622)에서 원고패소 판결했다. 재판부는 "정보통신서비스 제공자가 법에서 정하고 있는 기술적·관리적 보호조치를 다했다면 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 보기 어렵다"고 밝혔다. 이어 "하루 접속 건수가 3300만여건에 이르는 마이올레 홈페이지의 시스템과 같이 방대한 규모의 모든 웹서버 접속 로그 기록을 실시간 분석하거나 상시적으로 사후 분석하는 것은 현실적으로 불가능하다"며 "해커 접속(34만건)은 1% 미만이어서 이상행위를 탐지하기도 어려웠다"고 설명했다. 그러면서 "개인정보 등을 송·수신할 때 암호화의 대상 범위는 일반인이 접근 가능한 인터넷 공중망을 의미한다"며 "해커가 암호화되지 않은 주민등록번호를 확인한 곳은 대리점 PC 내부 영역으로 정보통신망법상 암호화가 요구되는 영역이 아니다"라고 판시했다. 정보통신망법 시행령 제6조 3항은 정보통신서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다고 규정하고 있다. 앞서 대법원은 2015년 2월 KT와 유사하게 해킹에 의해 개인정보가 유출된 경매업체 옥션 사건에서 "온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 업체에 개인정보 유출에 대한 책임을 지우기 어렵다"고 판결했다(2013다43994). 한편 한국소비자원(원장 한견표)은 지난 20일 개인정보 유출 피해를 입은 KT 고객들이 "위약금 없이 서비스를 해지할 수 있도록 해달라"며 신청한 조정을 각하했다. 당시 KT는 개인정보 유출 피해를 본 고객들이 서비스를 해지하겠다고 하자 위약금을 규정대로 물려 사회적 비난을 받았다. 경실련은 2014년 7월 피해고객 57명과 함께 소비자원에 위약금을 물리지 않도록 집단분쟁조정을 신청했다. 그러나 소비자원은 "법에서 정한 최소한의 기술적·관리적 보호조치를 취했으므로 이용계약 해지에 귀책사유가 없고, 개인정보 유출로 재산적 피해는 발생하지 않았다"는 이유로 각하 결정했다. 이에 경실련은 "소비자원은 합리적 설명 없이 절차를 개시하지 않은 채 사건을 장기간 방치해, 다수 피해자가 어쩔 수 없이 해지 위약금을 부담하거나 남은 약정 기간을 채울 수밖에 없었다"며 소비자원에 대한 공익감사 청구와 행정소송 제기를 검토하겠다고 밝혔다.

법원이 구글 본사에 "미국 정보기관 등 제3자에게 이용자 정보를 제공한 내역을 공개하라"는 판결을 내렸다. 법원은 이용자가 구글에 가입하면서 '서비스 관련 분쟁이 생기면 미국의 주(州) 법률에 따르기로 한다'는 내용의 약관에 동의했더라도 이는 국제재판권관할과 준거법을 정하는 '국제사법' 위반으로 무효이며 따라서 국내에서 소송제기가 가능하다고 봤다. 다만 구글 측의 손해배상 책임은 인정하지 않았다. 서울중앙지법 민사22부(재판장 박형준 부장판사)는 구글메일 이용자인 오병일 진보네트워크센터 사무국장 등 6명명(소송대리인 법무법인 이공)이 "가입자의 개인정보·서비스이용내역을 제3자에게 제공한 현황을 공개하고 300만원을 배상하라"며 미국 구글 본사와 구글코리아를 상대로 낸 소송(2014가합38116)에서 원고일부승소 판결했다. 구글은 "가입 약관을 통해 모든 소송은 독점적으로 미국 캘리포니아주 산타클라라 카운티 연방 또는 주 법원에서 하기로 당사자 간 합의를 했으므로 한국 법원에서의 소송은 각하돼야 한다"고 주장했지만 받아들여지지 않았다. 재판부는 판결문에서 "구글이 국내 이용자를 위한 별도의 도메인 주소를 운영하면서 한국어로 된 특화된 서비스를 제공하고 있고, 국내 기업이나 개인에게서 광고를 수주하는 등 영업활동을 하고 있다"며 "따라서 구글과 이용자가 대한민국 법원의 국제재판관할권을 배제하기로 합의했더라도 이런 합의는 국제사법 제27조를 위반해 효력이 없다"고 밝혔다. 이 조항은 '소비자의 상대방이 그 국가 외의 지역에서 그 국가에서 광고에 의한 거래의 권유 등 직업 또는 영업활동을 행하거나 그 국가 외의 지역에서 구 국가로 광고에 의한 거래의 권유 등 직업 또는 영업활동을 행하고, 소비자가 그 국가에서 계약체결에 필요한 행위를 한 경우 당사자가 준거법을 선택하더라도 소비자의 상거소가 있는 국가의 강행규정에 의해 소비자에게 부여되는 보호를 박탈할 수 없다'고 규정하고 있다. 재판부는 또 "구글이 당사자 간 합의를 이유로 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)' 제30조에서 정한 개인정보 제3자 제공현황 등의 공개를 요구할 수 있는 이용자의 권리를 행사할 수 없도록 하는 것은 우리나라 현행법상의 강행규정에 어긋난다"며 "따라서 구글은 이용자들이 요청하는 경우 특별한 사정이 없는 한 개인정보 등을 공개할 의무가 있다"고 판시했다. 하지만 손해배상책임은 인정하지 않았다. 재판부는 "현황 공개 요청에 필요한 조치를 하지 않았다는 사정만으로 재산상·정신적 손해를 입었다고 보기 어렵다"고 설명했다. 원고 6명 가운데 구글이 제공하는 개인메일을 이용하지 않고 기업메일 서비스만 이용하고 있는 2명의 청구도 각하했다. 기업메일 서비스는 국제사법이 정하고 있는 소비자계약의 보호대상인 '직업 또는 영업활동 외의 목적으로 체결되는 계약'에 해당하지 않는다는 이유다. 재판부는 "원고 가운데 김씨 등 2명은 구글에서 정한 약관에 따라 미국 캘리포니아주 산타클라라 카운티의 연방 또는 주법원에서만 소를 제기할 수 있다"고 밝혔다. 오씨 등은 지난해 2월 구글에 '제3자에게 개인정보 등을 제공한 사실이 있는지 여부와 제3자에게 관련 정보를 제공했다면 그 내역을 달라'며 요청서를 보냈지만 답변을 듣지 못했다. 오씨 등은 석달 뒤 다시 요청서를 보냈지만 응답이 없자 소송을 냈다.

오픈마켓 운영자는 쇼핑몰에서 판매되는 가짜 브랜드 상품의 유통을 방지해야 할 책임이 없다는 첫 대법원 결정이 나왔다. 일반 매장과 달리 인터넷을 매개로 수많은 판매자가 참여하는 오픈마켓의 특성을 고려한 것으로, 개별적인 상표권 침해행위가 입증되면 상표권자가 오픈마켓 운영자에게 해당 상품의 판매를 금지해 달라고 요구할 수는 있지만 상표권 침해행위가 발생하지 않게 근본적인 대책을 마련하도록 의무를 지울 수는 없다는 취지다. 대법원 민사3부(주심 민일영 대법관)는 최근 (주)아디다스 코리아가 "G마켓에서 아디다스 상표가 사용된 상품이 판매되거나 전시되는 것을 중단시켜 달라"며 온라인 쇼핑몰 G마켓 운영회사인(주)이베이코리아를 상대로 낸 상표권침해금지 가처분 신청 재항고심(2010마817)에서 신청을 기각한 원심을 확정했다. 재판부는 결정문에서 "정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에서 유통을 금지한 '사생활 침해 또는 명예훼손 등 타인의 권리를 침해하는 정보'에는 상표권을 침해하는 정보는 포함되지 않는다고 해석하는 것이 합리적"이라며 "정보통신서비스제공자에게 조리상 일정한 범위 내에서 상표권 침해행위를 방지해야 할 의무가 있음은 별론으로 하고 법률상 상표권침해행위를 적극적으로 방지해야 할 작위의무가 있음을 전제로 한 방조책임은 인정할 수 없다고 판단한 원심은 정당하다"고 밝혔다. 재판부는 "온라인쇼핑몰 운영자가 판매자로서 직접 소비자들에게 상품을 판매하는 형태가 아니라 거래가 이뤄질 수 있는 전저거래 시스템을 제공하고 구체적 거래에는 관여하지 않는 이른바 오픈마켓(Open market)에 타인의 상표권을 침해하는 상품판매정보가 게시되고 그 전자거래 시스템을 통해 판매자와 구매자 사이에 이러한 상품에 대한 거래가 이뤄진다고 하더라도 그런 사정만으로 곧바로 운영자에게 상표권 침해 게시물에 대한 불법행위책임을 지울 수는 없다"고 설명했다. 그러나 재판부는 "오픈마켓 운영자가 제공하는 인터넷 게시공간에 게시된 상표권침해 게시물의 불법성이 명백하고, 오픈마켓 운영자가 이같은 게시물이 게시된 사정을 구체적으로 인식했음이 외관상 명백히 드러났으며 기술적, 경제적으로 그 게시물에 대한 관리·통제가 가능한 때에는 오픈마켓 운영자에게 해당 상품을 판매할 수 없도록 하는 등 적절한 조치를 취할 것이 요구된다"고 덧붙였다. 아디다스사는 G마켓에서 유통되는 상품들 중 상표를 위조한 것으로 보이는 5417개의 상품목록을 이베이코리아에 통보하면서 그 상품들에 대한 판매중단조치를 취할 것과 판매자들의 등록계정 삭제를 요구하고 아디다스사의 상표를 사용한 상품이 자신들의 사전 허락 없이 판매목적으로 게시 또는 검색하지 않도록 적극적인 조치를 취해줄 것을 요구했다. 이베이코리아는 "상표권자가 위조품으로 특정해 신고한 상품에 대해서는 판매중단 조치를 취하고 있다"며 자신들에게 상표권침해 방지를 위한 포괄적 의무가 없다고 주장하자 아디다스사는 가처분신청을 냈으나 1·2심이 받아들이지 않자 대법원에 재항고했다.

네이트와 싸이월드 회원 3500만명의 개인정보가 해킹으로 유출된 사건과 관련해, SK커뮤니케이션즈(SK컴즈)는 정보통신망법에서 정한 조치를 다해 책임이 없다는 판결이 나왔다. 서울중앙지법 민사32부(재판장 서창원 부장판사)는 23일 감모씨 등 323명이 SK컴즈, 이스트소프트와 국가를 상대로 낸 손해배상소송(2011가합90267)에서 원고패소 판결을 내렸다. 이날 재판부는 피해자 2,847명이 같은 취지로 낸 5건의 사건에서 모두 원고 패소 판결했다. 재판부는 판결문에서 "SK컴즈는 해킹 사고 당시 정보통신망법 등 관련 법령이 정한 기술적·관리적 보호조치를 이행한 것으로 보인다"며 "해커가 사용한 해킹수법, 해킹 방지 기술의 한계 등을 종합적으로 고려하면 SK컴즈가 보호조치를 이행하지 않아 해킹 사고를 막지 못한 것으로 보기 어렵다"고 밝혔다. 감씨 등은 SK컴즈가 국내 공개용 알집 프로그램을 사용해 해킹이 가능하게 됐다고 주장했지만, 재판부는 "SK컴즈가 국내 기업용 알집 프로그램을 사용했어도 해커는 공개용 알집과 같은 방식으로 악성 프로그램을 다운로드 받도록 이스트소프트의 업데이트 웹사이트를 조작하는 것이 가능했을 것으로 보인다"며 인정하지 않았다. 알집 프로그램 제작사인 이스트소프트도 책임이 없다고 판단했다. 재판부는 "이스트소프트가 개인정보를 수집, 보관하는 주체에 해당하지 않는 이상, 감씨 등의 개인정보가 유출될 수 있다는 점을 예견할 수 없었던 것으로 보인다"고 설명했다. 지난해 7월 해킹으로 네이트와 싸이월드에서 3500만명의 개인정보 유출사고 발생했으며, 피해자들은 '네이트 해킹 피해자 카페' 등을 통해 소송을 집단적으로 제기했다. 감씨 등은 지난해 8월 '1인당 50만원씩 총 1억6000여만원을 배상하라'며 네이트와 싸이월드 운영사인 SK컴즈와 해킹에 악용된 소프트웨어를 만든 이스트소프트, 관리·감독 책임이 있는 국가 등을 상대로 소송을 냈다.