해킹에 의한 개인정보 유출 사고로 피해를 입은 고객들이 케이티(KT)를 상대로 낸 손해배상 청구소송에서 법원이 엇갈린 판결을 내려 항소심 판단이 주목된다. 인터넷이라는 특성상 모든 사이트가 해커의 불법적인 침입에 노출될 수밖에 없고 완벽한 보안을 갖춘다는 것은 어렵다고 판단한 재판부가 있는 반면, 정보통신업체는 사회통념상 요구되는 수준 이상의 보호조치를 다해야 한다면서 보다 큰 책임을 강조한 재판부도 있다. 서울중앙지법 민사6단독 심창섭 판사는 17일 A씨 등 39명이 KT를 상대로 낸 손해배상 청구소송(2014가소413127)에서 "KT는 1인당 10만원씩 지급하라"며 원고일부승소 판결했다. 2013년 8월부터 2014년 2월까지 KT가 운영하는 마이올레 홈페이지에서 해킹 사고가 발생해 개인정보가 대거 유출됐다. 해커는 이 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력하는 해킹프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 빼냈다. 이에 A씨 등은 2014년 5월 "KT의 관리감독 부실로 개인정보가 유출됐다"며 "1인당 20만원을 배상하라"며 소송을 냈다. 심 판사는 "정보통신서비스 제공자는 사회통념상 합리적으로 기대 가능한 기술수준으로 개인정보를 관리하고 있지만 해커들은 항상 기술수준을 뛰어넘는 방법을 사용한다"며 "KT가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 기술적·관리적 보호조치를 한 것만으로 개인정보의 안전성 확보에 필요한 조치를 다했다고 볼 수 없다"고 밝혔다. 이어 "KT는 7개월간에 걸쳐 1170만건의 개인정보 유출이 이뤄졌는데도 이를 확인하지 못했다"며 "보안관련 인력을 보강하거나 서버를 외부접속용과 내부 접속용으로 분리하는 등 해킹 사고를 방지하기 위한 조치도 취하지 않았다"고 지적했다. 그러나 지난달 20일 서울중앙지법 민사22부(재판장 전지원 부장판사)는 B씨 등 같은 피해를 당한 3645명이 KT를 상대로 낸 손해배상 청구소송(2014가합553622)에서 원고패소 판결했다. 재판부는 "정보통신서비스 제공자가 법에서 정하고 있는 기술적·관리적 보호조치를 다했다면 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 보기 어렵다"고 밝혔다. 이어 "하루 접속 건수가 3300만여건에 이르는 마이올레 홈페이지의 시스템과 같이 방대한 규모의 모든 웹서버 접속 로그 기록을 실시간 분석하거나 상시적으로 사후 분석하는 것은 현실적으로 불가능하다"며 "해커 접속(34만건)은 1% 미만이어서 이상행위를 탐지하기도 어려웠다"고 설명했다. 그러면서 "개인정보 등을 송·수신할 때 암호화의 대상 범위는 일반인이 접근 가능한 인터넷 공중망을 의미한다"며 "해커가 암호화되지 않은 주민등록번호를 확인한 곳은 대리점 PC 내부 영역으로 정보통신망법상 암호화가 요구되는 영역이 아니다"라고 판시했다. 정보통신망법 시행령 제6조 3항은 정보통신서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다고 규정하고 있다. 앞서 대법원은 2015년 2월 KT와 유사하게 해킹에 의해 개인정보가 유출된 경매업체 옥션 사건에서 "온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 업체에 개인정보 유출에 대한 책임을 지우기 어렵다"고 판결했다(2013다43994). 한편 한국소비자원(원장 한견표)은 지난 20일 개인정보 유출 피해를 입은 KT 고객들이 "위약금 없이 서비스를 해지할 수 있도록 해달라"며 신청한 조정을 각하했다. 당시 KT는 개인정보 유출 피해를 본 고객들이 서비스를 해지하겠다고 하자 위약금을 규정대로 물려 사회적 비난을 받았다. 경실련은 2014년 7월 피해고객 57명과 함께 소비자원에 위약금을 물리지 않도록 집단분쟁조정을 신청했다. 그러나 소비자원은 "법에서 정한 최소한의 기술적·관리적 보호조치를 취했으므로 이용계약 해지에 귀책사유가 없고, 개인정보 유출로 재산적 피해는 발생하지 않았다"는 이유로 각하 결정했다. 이에 경실련은 "소비자원은 합리적 설명 없이 절차를 개시하지 않은 채 사건을 장기간 방치해, 다수 피해자가 어쩔 수 없이 해지 위약금을 부담하거나 남은 약정 기간을 채울 수밖에 없었다"며 소비자원에 대한 공익감사 청구와 행정소송 제기를 검토하겠다고 밝혔다.

온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 해당 업체에게 개인정보 유출에 대한 책임을 지우기 어렵다는 대법원의 첫 판결이 나왔다. 대법원 민사1부(주심 고영한 대법관)는 간모씨 등 개인정보가 유출된 옥션 고객 2만2650명이 옥션을 운영하는 ㈜이베이(소송대리 김앤장 법률사무소)와 이 회사의 보안관리업체 인포섹(소송대리 법무법인 남산)을 상대로 낸 손해배상 청구소송 상고심(2013다43994)에서 원고패소 판결한 원심을 12일 확정했다. 재판부는 "옥션의 보안기술 수준과 보안조치를 보면 회원들의 개인정보를 안전하게 지키기 위해 필요한 보호조치를 모두 다 한 것으로 보이기 때문에 회원 개인정보 유출에 대한 손해배상 책임을 인정하기 어렵다"고 밝혔다. 이에 대해 "인터넷의 특성상 모든 사이트는 해커의 불법적인 침입에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 어렵다"고 설명했다. 옥션은 2008년 1월 중국인 해커로부터 회원 1800만명의 이름과 주민등록번호, 주소, 아이디, 계좌번호 등 개인정보를 모두 해킹당했다. 옥션 회원 14만6601명은 "1명당 20만원씩 배상하라"며 역대 최대 규모의 집단소송을 냈다. 1·2심은 "옥션은 해킹사고를 방지하기 위해 기술적인 보호 조치를 다 했다"며 원고패소 판결했고 고객 2만2650명만이 상고했다.

인터넷전화서비스 사업자가 시내외전화 회선을 이용할 수 있도록 명의만 빌려준 개인은 해킹으로 발생한 국제전화요금을 지급할 계약상 책임은 없다는 판결이 나왔다. 다만, 재판부는 명의 대여가 금지돼 있는데도 이를 어긴 데 대해 KT에 손해배상책임을 져야 한다고 판단했다. 서울고법 민사8부(재판장 배기열 부장판사)는 지난달 21일 김모씨 등 30명이 ㈜케이티(KT)를 상대로 낸 부당이득금 반환소송 항소심(2013나8467)에서 "KT는 김씨 등이 이미 낸 요금 59만여원은 반환하고 기왕에 부과한 나머지 요금도 받을 권리가 없다"면서도 "김씨 등은 명의대여에 대한 손해배상으로 KT에 7600여만원을 지급해야 한다"고 판결했다. 재판부는 판결문에서 "국제전화요금 납부의무를 부담하기 위해서는 계약으로 국제전화요금이 정해져야 하는데, 요금을 산정할 구체적 기준이나 근거가 없다"며 "국제전화 요금이 김씨 등이 사용한 결과 발생한 것이 아니어서 요금 납부의무를 부담하지 않는다"고 밝혔다. 하지만 "김씨 등이 KT에 대한 서비스를 인터넷전화서비스 사업자가 이용하도록 동의한 것은 계약위반이기 때문에 김씨 등은 KT에 손해를 배상할 책임이 있다"며 "KT가 이를 알고 있음에도 별다른 조치 없이 서비스를 계속 제공해 이용요금을 징수했고, 해킹사고에 이상징후를 감지할 수 있었음에도 뒤늦게 통보하는 등 손해 발생에 기여해 김씨 등 손해배상 책임을 60%로 제한한다"고 덧붙였다. 김씨 등은 2009년 KT와 시내외전화 서비스이용계약을 맺고, 인터넷전화서비스 사업자가 이를 이용할 수 있도록 동의했다. 같은해 김씨 등이 명의를 대여해 준 회사가 해킹을 당해 김씨 등 명의로 국제전화요금 1억2960만원이 발생했다.

SK커뮤니케이션즈(SK컴즈)는 해킹으로 회원 개인정보를 유출당한 네이트와 싸이월드 회원들에게 손해를 배상해야 한다는 판결이 나왔다. 해킹 피해자들이 SK컴즈를 상대로 낸 소송은 1심에서 법원별로 승패가 엇갈리고 있지만, 만약 피해자들이 최종 승소한다면 SK컴즈는 천문학적인 금액의 손해배상금을 물게 될 것으로 보인다. 개인정보가 유출된 피해자는 3500만명에 달하는 것으로 추산되고 있기 때문이다. 서울서부지법 민사12부(재판장 배호근 부장판사)는 15일 해킹 피해자 2882명이 SK커뮤니케이션즈를 상대로 낸 손해배상 청구소송(2011가합11733)에서 "원고 1인당 20만원씩 모두 5억 7640만원을 지급하라"며 원고일부승소 판결했다. 재판부는 "개인정보 3500만여건이 여러 단계를 거쳐 외부로 유출됐는데도 SK컴즈 탐지 시스템이 전혀 감지하지 못했으며, 기업형 알집보다 보안상 취약한 공개용 알집을 사용해 해킹이 더 쉽게 이뤄지도록 했다"며 "담당 직원이 로그아웃하지 않고 새벽까지 컴퓨터를 켜둬 해커가 쉽게 서버에 접근할 수 있도록 하는 등 개인정보 보호 업무를 소홀히 해 생긴 손해를 배상해야 한다"고 밝혔다. 그러나 피해자들이 이스트소프트, 시만텍코리아, 안랩 등 정보보안 업체를 상대로 낸 손해배상 청구는 기각했다. 재판부는 "이스트소프트의 알집 업데이트 서버가 변조돼 악성 프로그램이 생성되고 개인정보가 유출됐다는 사정이 인정되나 해킹에 이용됐다는 이유만으로 대량 개인정보 유출과 상당한 인과관계가 있다고 볼 수 없다"고 설명했다. 또 "시만텍코리아가 백신 업데이트를 소홀히 해 악성파일을 탐지하지 못했다고 인정할 근거가 부족하고 계약을 맺고 보안 업무를 담당하는 안랩에도 책임을 묻기 어렵다"고 덧붙였다. 2011년 7월 네이트와 싸이월드에서 회원들의 개인정보가 유출된 이후 피해자들은 인터넷에 '네이트 해킹 피해자 카페' 등을 개설한 뒤 결집해 집단 소송 여러 건을 냈다. 서울중앙지법은 지난해 11월 해킹 피해자 2847명이 SK컴즈, 이스트소프트 등과 국가를 상대로 낸 손해배상 청구소송(2011가합90267)에서 원고패소 판결했다. 그러나 앞서 4월 구미시법원은 해킹 피해자 유모씨가 SK컴즈를 상대로 낸 소송(2011가소17384)에서 "위자료 100만원을 지급하라"며 원고일부승소 판결을 내렸다.

네이트와 싸이월드 회원 3500만명의 개인정보가 해킹으로 유출된 사건과 관련해, SK커뮤니케이션즈(SK컴즈)는 정보통신망법에서 정한 조치를 다해 책임이 없다는 판결이 나왔다. 서울중앙지법 민사32부(재판장 서창원 부장판사)는 23일 감모씨 등 323명이 SK컴즈, 이스트소프트와 국가를 상대로 낸 손해배상소송(2011가합90267)에서 원고패소 판결을 내렸다. 이날 재판부는 피해자 2,847명이 같은 취지로 낸 5건의 사건에서 모두 원고 패소 판결했다. 재판부는 판결문에서 "SK컴즈는 해킹 사고 당시 정보통신망법 등 관련 법령이 정한 기술적·관리적 보호조치를 이행한 것으로 보인다"며 "해커가 사용한 해킹수법, 해킹 방지 기술의 한계 등을 종합적으로 고려하면 SK컴즈가 보호조치를 이행하지 않아 해킹 사고를 막지 못한 것으로 보기 어렵다"고 밝혔다. 감씨 등은 SK컴즈가 국내 공개용 알집 프로그램을 사용해 해킹이 가능하게 됐다고 주장했지만, 재판부는 "SK컴즈가 국내 기업용 알집 프로그램을 사용했어도 해커는 공개용 알집과 같은 방식으로 악성 프로그램을 다운로드 받도록 이스트소프트의 업데이트 웹사이트를 조작하는 것이 가능했을 것으로 보인다"며 인정하지 않았다. 알집 프로그램 제작사인 이스트소프트도 책임이 없다고 판단했다. 재판부는 "이스트소프트가 개인정보를 수집, 보관하는 주체에 해당하지 않는 이상, 감씨 등의 개인정보가 유출될 수 있다는 점을 예견할 수 없었던 것으로 보인다"고 설명했다. 지난해 7월 해킹으로 네이트와 싸이월드에서 3500만명의 개인정보 유출사고 발생했으며, 피해자들은 '네이트 해킹 피해자 카페' 등을 통해 소송을 집단적으로 제기했다. 감씨 등은 지난해 8월 '1인당 50만원씩 총 1억6000여만원을 배상하라'며 네이트와 싸이월드 운영사인 SK컴즈와 해킹에 악용된 소프트웨어를 만든 이스트소프트, 관리·감독 책임이 있는 국가 등을 상대로 소송을 냈다.

지난달 28일 네이트와 싸이월드에 대한 해킹사실이 알려지면서 개인정보 유출 집단소송 커뮤니티가 급증하고 있다. 해킹 피해자가 3500만명에 이르기 때문에 소송에 대한 관심은 계속 높아지는 상황이다. 소송과 관련해 위자료와 재산상 손해배상 가운데 무엇을 청구할 것인지, 업체의 과실은 무엇을 기준으로 판단할 것인지, 주민번호 보유도 과실인지 하는 점 등이 쟁점이 될 것으로 보인다. 소송을 준비하는 측은 부실한 보안관리가 원인이므로 SK커뮤니케이션즈에 배상책임이 인정된다고 주장하고 있지만, SK커뮤니케이션즈가 해킹 방지가 현재의 기술력으로 불가능했다는 점을 입증할 경우 승소 가능성을 점치기 어려운 상황이다. ◇ 집단 소송 카페 봇물= 네이트와 싸이월드 정보유출 후 네이버와 다음 등 포털 사이트에는 한 달여 사이 20개가 넘는 네이트 개인정보 유출 집단소송 준비 카페가 개설됐다. 200~300명 내외의 소규모 카페도 있지만 일부는 이미 회원 수가 8만명을 넘는 것으로 알려졌다. 대부분의 까페가 1만~2만원의 소송비용을 공지하고 있는 것을 감안하면 모든 회원이 소송에 참여할 경우 해당 변호사는 산술적으로는 8억원의 수임료를 받을 수 있는 상황이다. ◇ "지급명령은 법적으로 의미 없어"= 개별적인 손해배상 청구소송은 이미 시작됐다. 지난달 29일 A모(40) 변호사가 "300만원을 지급하라"며 서울중앙지법에 첫 손해배상청구소송(2011가소1956930)을 제기한 바 있고, 서울중앙지법은 B모(25)씨가 지난 1일 SK컴즈를 상대로 낸 지급명령 신청에 대해 12일 100만원의 지급명령을 내린 바 있다. 이에 대해 서초동의 K변호사는 "지급명령은 신청자의 신청 내용 그대로 법원이 명령을 내리는 제도인데다 2주 안에 상대방이 이의를 제기하면 확정이 되지 않기 때문에 큰 의미는 없다"고 지적했다. SK컴즈는 지급 거부 의사를 밝혀 배상책임 유무는 본안소송에서 판가름 날 전망이다. ◇ 위자료·재산상 손해배상은=정보유출과 관련해 먼저 문제가 되는 것은 손해배상의 종류다. 만약 정신적 피해를 구하는 위자료를 청구할 경우 법원은 정액으로 150~200만원 정도로 인정할 가능성이 높지만, 재산상 손해의 경우 입증이 어렵다는 점에서 피해자측 소송대리인이 재산상 손해배상을 청구할 가능성은 낮아 보인다. ◇ '당대의 기술수준'으로 해킹 방어 가능한가= 다음으로 문제가 되는 것은 관리자로서 SK컴즈의 과실 성립 여부다. 형사사건과 달리 민사소송에서 과실여부는 무거운가 가벼운가를 따지지 않기 때문에 소송 진행과정에서 과실의 성립여부 자체를 놓고 다투게 될 전망이다. 이에 대해 IT 분야 전문가인 C변호사는 "정보유출이 해킹으로 인한 것이라고 가정한다면 관리자가 충분한 암호화 기술을 사용했는지, 서버의 방화벽이 제대로 구축돼 있는지가 쟁점이 된다"고 말했다. 암호화 기술이 충분하다면 유출된 개인정보가 안전할 것이고, 서버의 방화벽이 충분히 구축돼 있었다면 통상적 해킹기술로는 해킹이 불가능하기 때문이다. C변호사는 이어 "결국 당대 최고수준의 기술적·경제적 조치를 취했느냐가 쟁점이고, 피해자측은 충분한 보안조치가 없었다는 점을, 업체측은 더 이상의 보안방법은 없었다는 점을 입증하려 할 것"이라고 예상했다. ◇ 주민번호 보유도 과실인가= 업체가 필요하지 않은 개인정보를 보유하고 있었던 것은 아닌지 하는 점도 쟁점이다. 하지만 법령상 주민번호 보유가 금지된 것은 아니기 때문에 관리자의 과실로 평가되기는 어려울 전망이다. 법령에서 아이핀(i-PIN)의 사용을 권고하고 있기는 하지만 업체로서는 주민번호를 삭제할 의무가 있는 것은 아니다. 소송 진행과정에서는 SK컴즈 측은 앞으로의 보호방안 대책을 내세우며 이 문제를 피해갈 것으로 보인다. ◇ 소송 전망은= 개인정보 유출과 관련해서는 법원의 판결이 엇갈리고 있기 때문에 결과를 예측하기는 힘들다. 법원은 2008년 옥션의 개인정보 유출 사건에 대해 옥션의 피해배상 책임을 인정하지 않은 바 있다. 이러한 전례에 비춰보면 피해자들로서는 업체측의 과실을 통상적인 손해배상소송과 마찬가지 수준으로 입증하기 어려울 수도 있다. 이에 대해 C변호사는 "법원이 과실인정 요건을 완화하고 10만~20만원 정도의 소액의 손해배상액을 인정할 가능성도 있다"고 조심스럽게 예측했다.

인터넷 오픈마켓 옥션의 정보유출 손배소송에서 피해 회원들이 패소했다. 서울중앙지법 민사21부(재판장 임성근 부장판사)는 14일 옥션 회원 간모씨 등 14만6,601명이 "해킹으로 인한 개인정보유출로 피해를 입었다"며 (주)이베이옥션과 인포섹(주)를 상대로 낸 손해배상 청구소송(2008가합31411 등 13건)에서 "옥션이 취한 보안조치 내용을 볼 때 과실을 인정하기 어렵다"며 원고패소 판결을 내렸다. 재판부는 판결문에서 "정보통신서비스 제공자가 이용자의 개인정보를 해킹으로 도난당했을 때 손해배상책임을 지우기 위해서는, 정보통신서비스제공자가 해킹사고를 방지하기 위해 선량한 관리자로서 취해야 할 기술적·관리적 조치의무를 위반함으로써 해킹사고를 예방하지 못한 경우여야 한다"고 밝혔다. 재판부는 이어 "옥션과 옥션의 보안관리를 담당한 인포섹이 근본적으로 해킹을 막지 못한 아쉬움이 일부 있기는 하다"면서도 "해킹 사고 당시 옥션이 취하고 있던 각종 보안조치의 내용, 해킹방지기술의 발전상황 및 해킹의 수법 등 여러사정에 비춰보면, 옥션 등에게 민법상 불법행위에 해당하는 과실이 있다고 보기 어렵고, 구 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 등 관련법령에 위반된 사실도 없다"고 덧붙였다. 재판부는 또 옥션이 해킹을 막기위해 필수적인 웹방화벽을 설치하지 않았다는 원고측 주장에 대해서는 "웹방화벽은 시스템의 특성 등을 고려해 도입여부가 결정되는 선택적인 보안조치의 하나에 불과하고, 관련 법령상으로도 웹방화벽의 설치가 의무화돼 있지도 않다"며 받아들이지 않았다. 재판부는 다만 "판결과는 별도로 옥션의 경우 법적인 책임은 없다고 하더라도 기업의 도의적, 사회적 책임을 진다는 차원에서 개인정보가 유출된 회원들에 대한 특전의 부여 등 적절한 조치를 하는 것이 바람직하다"고 지적했다. 피고 이베이옥션의 대리인인 김앤장의 황정근 변호사는 "과거 발생한 기업의 고의 또는 과실로 인한 개인정보 유출사건은 있었으나, 이번 사건은 해킹의 피해자인 기업이 역시 같은 피해자인 회원들로부터 손해배상소송을 당한 첫 사례"라며 "재판부가 세운 기준은 앞으로 유사한 사건에서 선례로 작용할 것으로 보인다"라고 말했다. 2008년1월께 중국 해커들에 의해 옥션 사이트가 해킹돼 회원 약 1천만명의 주민등록번호를 포함한 개인정보가 유출되자, 피해자들은 수백∼수천 명 단위로 소송을 제기해 총 14만6천여명이 총 30여건의 손해배상소송을 냈다.

회사 홈페이지가 해킹 당해 입사 지원자들의 자기소개서 등이 유출됐다면 회사에 배상책임이 있다는 판결이 나왔다. 서울고법 민사5부(재판장 이성호 부장판사)는 25일 회사 홈페이지 해킹으로 입사지원서상의 개인정보가 유출됐다며 강모씨등 293명이 L사를 상대로 낸 손해배상 청구소송 항소심(2008나25888)에서 등록정보를 열람당한 32명에게 30만원씩을 배상하라는 판결을 내렸다. 재판부는 판결문에서 "피고는 온라인으로 입사지원을 받음으로써 편의를 얻고 있고, 입사지원자들은 자신이 제공하는 정보가 채용 및 인사담당자에게만 공개될 것으로 신뢰하고 민감한 정보까지 제공했을 것이므로 피고는 개인정보가 유출되지 않도록 보안조치를 취해야 할 주의의무가 있다"며 "피고는 당시 기술수준에 비추어보더라도 필요한 보안조치를 강구해야 할 주의의무를 위반했다"고 밝혔다. 재판부는 이어 "해킹을 한 임모씨가 만든 링크파일을 통해 일반인들도 쉽게 채용사이트에 접속해 원고들의 입사지원정보를 열람하게 됐다"며 "원고들은 이로 인해 자신들의 개인정보가 불특정 다수인들에 의해 열람당함으로써 정신적 고통을 받았을 것이므로 피고는 이를 금전으로나마 위자할 의무가 있다"고 덧붙였다. 재판부는 다만 "기본적 인적사항에 대해 나름대로 보안조치를 취했고 2차적인 피해확산가능성은 높지 않은 점, 피고가 개인정보를 처리하는데 영리의 목적이 없었던 점과 함께 제3자의 범죄행위를 직접적인 원인으로 해 발생했다는 점 등은 피고의 책임을 가볍게 하는 사유"라며 위자료의 액수를 30만원으로 정했다. 2006년 L사의 신입사원모집에 응시했던 강모씨 등은 회사 홈페이지가 해킹 당해 포털사이트의 취업 관련 카페에 자신들의 자기소개서 등 개인정보가 게시되자 회사를 상대로 소송을 내 1심에서 1인당 70만원의 위자료를 인정받았다.