G마켓이 해외 보안업체를 상대로 광고 클릭 데이터 유실에 따른 손해배상 청구 소송을 제기했지만 패소했다. 서울중앙지법 민사45부(재판장 김경수 부장판사)는 지난달 G마켓이 라드웨어코리아와 제이티시스템즈를 상대로 제기한 손해배상 소송에서 원고패소 판결했다(2021가합592311). 오픈마켓을 운영하는 ‘G마켓’은 마켓에 게시되는 제품의 광고료가 매출이다. 광고료 수입은 광고 클릭 수와 단가에 따라 산정된다. 이에 따라 G마켓은 광고 클릭 데이터와 서버를 보호하기 위한 보안 시스템을 구축해 왔다. G마켓은 2013년 라드웨어 본사가 제조한 보안장비 제품을 서버에 설치했다. 2017년에는 라드웨어 본사가 제조한 보안 제품을 제이티시스템즈로부터 공급받는 계약을 제이티시스템즈와 체결했다. 제이티시스템즈는 2017~2021년 G마켓 시스템에 대한 유지 보수 업무를 수행하기도 했다. 2021년 5월 G마켓은 대규모 할인 행사를 진행했다. 그런데 당시 사이트 방문자 수, 판매 매출이 크게 증가했는데도 광고 매출이 예상에 못미쳤다. 조사 결과 접속자가 광고를 클릭해도 데이터가 서버로 전달되지 않는 현상이 확인됐다. 광고 클릭 데이터의 URL 길이가 1236 bytes(바이츠)를 초과하는 경우 고객이 클릭한 URL 주소가 제대로 처리되지 않는 현상(URL 길이 제한)이 파악됐다. 같은 해 G마켓은 “라드웨어코리아와 제이티시스템즈가 공급한 보안 장비가 동작하면서 특정 URL을 처리하지 못하는 결함이 있었다. 이로 인해 광고 클릭 데이터가 누락돼 광고수수료 손해가 발생했다”며 약 16억 원을 배상하라고 주장했다. 재판부는 G마켓의 주장을 받아들이지 않았다. 재판부는 “이 사건 제품에 URL 길이 제한이 존재하는 것은 국제 표준 통신 규약 기준에 부합하도록 설계되었기 때문”이라며 “설계상 결함에 해당한다거나 그 밖에 통상적으로 기대되는 안정성이 결여됐다고 할 수 없다”고 판단했다. 또 “(사용자가 하나의 패킷에서) 실제로 전송 가능한 URL 길이는 대략 1200~1230 bytes 정도라는 점은 네트워크 보안 운영 담당자 등 업계 사람들에게 일반적으로 알려져 있는 내용으로 보인다”며 “URL의 길이는 G마켓과 같이 인터넷사이트를 운영하는 서비스제공자 측에서 설계하는 것”이라고 말했다. 이어 “(G마켓은) URL 데이터를 일정 bytes 이하로 설정함으로써 광고 클릭 데이터가 유실되는 문제를 회피할 수 있다”고 덧붙였다. 앞서 라드웨어코리아가 G마켓에 해당 문제를 보고했을 때, G마켓은 보완을 요청하지 않았고 관련 문제를 놓치고 있었다는 반응을 보였다는 점도 고려됐다. G마켓은 최근 제이티시스템즈를 상대로 항소했다. 라드웨어코리아에 대한 판결은 확정됐다. 라드웨어코리아를 대리한 법무법인 화우는 사건을 총괄한 이광욱(53·사법연수원 28기)·우수연(46·35기) 변호사·김명안 국제중재소송팀 팀장, 서울중앙지법 기술전문조사관 출신의 최홍석(46·변호사시험 1회) 변호사, 디도스에 대한 세부 검토를 맡은 박성현(31·10회) 변호사의 협업으로 승소를 이끌었다. 사건 대응을 함께하며 라드웨어 이스라엘 본사와 소통한 김명안 외국변호사(미국 캘리포니아주)는 “이스라엘 관습법 체계에 익숙한 의뢰인과의 정확한 소통, 국내 팀과의 공조 등이 성공적인 분쟁 해결의 발판이 됐다”며 “보안 소프트웨어 제품 하자 분쟁에 대한 국제적 선례가 마련된 점에 보람을 느낀다”고 했다.

회사 다면평가 열람용 인터넷 주소 일부 숫자를 바꿔 입력하는 방법을 반복해 다른 직원의 평가 결과를 열람하고 이를 캡처해 타인에게 전송했더라도 정보통신망법 위반으로 볼 수 없다는 취지의 대법원 판결이 나왔다. 다면평가 결과가 게시된 인터넷 페이지에 별도의 개인인증 절차 없이 주소만 입력해 접속할 수 있었다면, 페이지 접근권한을 임직원 본인으로 제한했다고 보기 어렵다는 판단이다. 대법원 형사1부(주심 오경미 대법관)는 지난달 26일 정보통신망이용촉진및정보보호법률 위반 혐의로 기소된 A 씨에게 징역형의 집행유예를 선고한 원심을 파기하고 사건을 수원지법으로 돌려보냈다(2023도1086). A 씨는 경기도의 B 아트센터에 근무하는 직원이다. B 센터는 직원 인사관리를 위해 매년 직원 간 다면평가를 실시했는데 직원들은 개인별로 부여된 인터넷 주소에 접속해 본인의 평가 결과를 열람할 수 있었다. A 씨는 자신의 다면평가 열람 페이지 주소 마지막 숫자 2자리를 다르게 입력하는 방법을 반복해 B 센터 임직원 51명의 평가 결과를 일일이 열어 보고 그 화면을 캡처한 뒤, 캡처 사진을 B 센터 본부장에게 전송한 혐의를 받았다. 1심은 "A 씨가 정당한 접근권한 없이 정보통신망에 침입해 타인의 비밀을 침해하고 누설했다"며 A 씨에게 징역 8개월에 집행유예 2년을 선고했다. B 센터와 용역계약을 맺고 다면평가 온라인 링크 개발과 조사를 진행하고 직원들에게 평가 결과 주소를 전송한 C 업체와 대표이사 D 씨에게는 "B 센터 임직원의 개인정보 유출을 방지하기 위한 조치를 취하지 않아 개인정보보호법을 위반했다"며 각각 벌금 500만 원을 부과했다. 2심도 A 씨의 항소를 기각하고 1심 판결을 유지했다. 하지만 대법원 판단은 달랐다. 대법원은 "정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하는 것을 금지한 정보통신망법 제48조 제1항은 정보통신망 자체의 안정성과 정보의 신뢰성을 보호하기 위한 것이므로 접근권한을 부여하거나 허용되는 범위를 설정하는 주체는 서비스제공자"라며 "서비스제공자로부터 권한을 부여받은 이용자가 아닌 제3자가 정보통신망에 접속한 경우 그에게 접근권한이 있는지 여부는 서비스제공자가 부여한 접근권한을 기준으로 판단해야 하며, 서비스제공자가 접근권한을 제한하는지 여부는 보호조치나 이용약관 등 객관적으로 드러난 여러 사정을 종합적으로 고려해 신중하게 판단해야 한다"고 전제했다. 이어 "평가결과 열람 인터넷 페이지는 별도의 로그인이나 개인인증 절차 없이 접속이 가능했으며 △주소 마지막이 숫자 2자리로 단순하게 구성돼 있었으며 주소가 암호화돼 있지 않은 점 △C 업체가 임직원들에게 평가 결과 주소를 전송한 이메일과 문자메시지에서 다른 임직원의 열람을 제한하는 것으로 볼 만한 내용을 포함시키지 않은 점에 따라 C 업체와 D 씨는 안정성 확보에 필요한 조치를 취하지 않았다는 이유로 유죄 판결을 확정 받았다"고 밝혔다. 그러면서 "C 업체가 B 센터 임직원들에게 본인의 다면평가 결과가 게시된 인터넷 페이지의 주소만을 개별적으로 전달했다 하더라도, 아무런 보호조치 없이 다면평가 결과가 게시된 인터넷 주소를 입력하는 방법만으로도 다면평가 결과를 열람할 수 있도록 한 이상, 인터넷 페이지 접근권한을 임직원 본인으로 제한했다고 보기 어렵다"며 "A 씨가 인터넷 주소의 일부 숫자를 바꿔 넣는 방법으로 다른 사람의 평가 결과가 게시된 페이지에 접속했다 하더라도 정보통신망법 제48조 제1항이 금지하는 정보통신망 침입 행위에 해당한다고 할 수 없다"고 판단했다. A 씨가 다른 임직원의 평가열람 페이지에 접속해 타인에게 비밀을 누설했다는 혐의에 대해서도 대법원은 "A 씨가 인터넷 주소 일부를 변경해 입력한 것 외에 별도로 부정한 수단 또는 방법으로 볼 만한 행위를 하지 않았으므로 다면평가 결과를 부정한 수단 또는 방법으로 취득하거나 누설했다고 할 수 없다"고 판시했다.

이동통신사는 서비스 가입자에게 발신통화내역상 접속된 기지국의 주소를 제공할 의무가 없다는 대법원 판단이 나왔다. 대법원 민사1부(주심 김선수 대법관)는 지난 13일 김가연 변호사가 KT를 상대로 낸 공개청구소송에서 원고의 상고를 기각하고 원고패소 판결한 원심을 확정했다(2020다255245). 사단법인 오픈넷 상근변호사로 활동하던 김 변호사는 2016년 6월경 KT에게 KT가 수집·보유하고 있는 '통화·문자 상세내역(착신 전화번호, 통화일시, 사용도수, 기지국 정보)' 정보에 관해 열람을 신청했으나 KT는 해당 정보가 제3자의 정보이거나 수집·보유하고 있는 정보가 아니라는 이유로 거절했다. 이에 김 변호사는 KT를 상대로 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제30조 제2항 제1호 또는 이용계약에 따른 통화·문자 상세내역 정보를 공개하라는 소송을 제기했다. 당시 김 변호사는 "우리나라에서 개인정보열람청구권이 얼마나 실질적으로 보장되고 있는지 등을 알아보고고자 공익 목적으로 소송을 제기한다"고 밝혔다. 1심은 "KT는 개인정보 처리방침에 따라 통화·문자 상세내역 정보를 공개할 의무가 있다"고 판단해 KT의 개인정보 처리방침에 기한 공개 청구를 받아들였다. 다만 구 정보통신망법상 통화·문자 상세내역 정보는 개인정보에 해당한다고 보기 어려워 정보통신망법에 따른 공개 청구를 받아들이지는 않았다. 하지만 2심은 김 변호사의 청구를 기각했다. 1심 재판 중 KT가 김 변호사에게 발신통화 내역과 동 단위까지 표시된 기지국 주소를 제공했고, 이에 김 변호사는 2심에서 다른 정보는 요구 대상에서 제외하고 기지국 지번 주소 또는 허가번호를 공개하라는 취지로 청구를 변경했는데 2심에선 이 정보가 정보통신망법상 개인정보에 해당하지 않는다고 판단했다. 또 2심은 "김 변호사가 KT와 체결한 이동통신서비스 이용계약에는 김 변호사의 휴대전화가 발신했을 때 접속한 기지국 지번주소 또는 허가번호를 제공할 의무가 포함됐다고 보기 어렵다"며 이용계약에 따른 공개 청구도 받아들이지 않았다. 이에 김 변호사는 상고했으나 대법원은 받아들이지 않았다. 재판부는 "김 변호사의 휴대전화 단말기가 발신했을 때 접속한 기지국의 위치에 관한 정보는 김 변호사의 위치가 아닌 기지국의 위치에 관한 것으로서, 발신 기지국 위치만으론 휴대전화 단말기가 어느 위치에서 발신한 것인지를 알아내는 데 한계가 있다"며 "해당 정보는 구 정보통신망법상 개인정보에 해당한다고 보기 어렵다"고 밝혔다. 이어 "김 변호사와 KT가 체결한 이동통신서비스 이용계약에 KT가 김 변호사의 휴대전화가 발신했을 때 접속한 기지국 위치에 관한 주소를 제공할 의무가 있다는 내용이 포함됐다고 보기도 어렵다"고 설명했다.

구글이 미국 정보기관 등 제3자에 국내 이용자 정보를 제공한 내역을 공개해야 한다는 대법원 판단이 나왔다. 2심은 미국법이 비공개 의무를 부여한 부분은 구글이 공개를 거부할 수 있다고 봤다. 하지만 대법원은 이 부분도 종합적으로 검토해 공개 여부를 정해야 한다고 판단했다. 대법원 민사3부(주심 노정희 대법관)는 13일 구글 이용자 A 씨 등이 구글 인코퍼레이티드(구글)와 구글코리아를 상대로 낸 손해배상 등 청구소송(2017다219232)에서 원고 일부승소 판결한 원심 가운데 일부를 파기하고 사건을 서울고법으로 돌려보냈다. A 씨 등은 2014년 2월 구글 본사와 구글코리아에 사용자 정보를 제3자에게 제공한 내역을 공개하라고 요구했다. 하지만 구글 측이 구체적으로 답변하지 않았고, 재차 답변을 요청했으나 결국 답변을 받지 못하자 소송을 냈다. 앞서 1심은 미국 본사인 구글에게 비공개 의무가 있는 사항을 제외하고 현황을 공개하라며 원고 일부승소 판결했다. 2심도 원고 일부승소 판결하며, 구글이 비공개 사항을 제외한 개인정보 제공 현황을 공개할 의무가 있다고 봤다. 또 구글코리아에 대해서도 위치정보서비스와 위치기반서비스 관련 정보통신서비스 제공자이므로 열람·제공요구에 응해야 한다며 원고 측의 청구를 일부 인용했다. 하지만 대법원은 구글에 대한 원고 패소 부분을 파기환송했다. 비공개가 정당하다고 판단한 부분을 다시 심리하라는 취지다. 먼저 대법원은 "구글과 체결한 서비스 이용계약은 구 국제사법 제27조 제1항 제1호에 따른 소비자 계약이므로 원고들이 한국에 구글에 대한 소를 제기한 것은 전속적 재판관할합의에도 불구하고 적법하다"고 밝혔다. 구 국제사법 제27조의 '소비자 계약'은 전속적 재판관할합의 효력이 미치지 않는다. 외국법원에 소송을 제기하는 것에 어려움이 있는 소비자의 재판청구권을 실질적으로 보장하기 위해서다. 재판부는 비공개의무를 부여하는 외국법령이 존재하는 경우에 '정당한 사유'를 판단하는 기준과 이때 정보통신서비스 제공자등이 취해야 하는 조치에 대한 판단도 내놓았다. 재판부는 "대한민국 법령 외에 외국 법령도 준수해야 하는 정보통신 서비스 제공자 등이 그 외국 법령에서 해당 정보의 공개를 제한하고 있다는 등의 근거를 들어 열람·제공을 거부하는 경우, 외국 법령이 있다는 사정만으로 곧바로 정당한 사유가 존재한다고 볼 수는 없지만, 거부에 정당한 사유가 있는지를 판단할 때 외국 법령의 내용도 고려할 수 있다고 봐야 한다"며 "한국 법령 외에 외국 법령도 함께 준수해야 하는 지위에 있는 정보통신서비스 제공자 등이 구 정보통신망법 제30조 제4항에 따른 필요한 조치를 모두 이행했는지는 △외국법령에 따른 비공개의무가 한국 헌법, 법률 등의 내용과 취지에 부합하는지 △개인정보를 보호할 필요성이 비해 그 외국 법령을 존중해야 할 필요성이 현저히 우월한지 △해당 법령에서 요구하는 비공개요건이 충족되어 실질적으로 비공개의무를 부담하고 있는지 등을 종합적으로 고려해야 한다"고 판시했다. 그러면서 "정당한 사유가 있더라도 정보통신 서비스 제공자들은 그 항목을 구체적으로 특정해 제한·거절 사유를 통지해야 하고, 국가안보·범죄수사 등 사유로 외국 수사기관에 정보를 제공했더라도 그 사유가 종료되면 정보 제공 사실을 이용자에게 공개해야 한다"고 부연했다. 대법원 관계자는 "대한민국 법령 외에 외국 법령도 준수해야 하는 지위에 있는 정보통신서비스 제공자에게 그 외국법령에서 비공개의무를 부과하는 사항을 무조건 공개하도록 하는 것은 모순된 행위를 강요하는 것"이라며 "가혹하고 국제예양의 측면에서도 바람직하지 않다는 점을 감안해 그와 같은 외국법령을 정당한 사유의 판단 요소로 고려해야 한다는 법리를 설시하고, 그러한 법령의 존재 외에 정당한 사유를 인정하기 위해 필요한 구체적인 기준을 설시해 외국법적 요소가 있는 정보공개 사안에서 국가들 간 이익을 균형 있게 고려할 수 있도록 하는 방안을 제시한 판결"이라고 말했다.

2017년 국내 가상화폐 거래소 빗썸의 전산 장애로 피해를 본 일부 투자자들에게 빗썸이 1인당 최대 1000만원을 배상해야 한다는 판결이 나왔다. 서울고법 민사16부(재판장 차문호, 이양희, 김경애 판사)는 25일 A 씨 등 투자자 190명(소송대리인 법무법인 대륙아주 김준우, 최의상 변호사)이 ㈜빗썸코리아를 상대로 낸 손해배상청구소송(2020나2032211)에서 원고패소 판결한 1심을 뒤집고 원고일부승소 판결했다. 재판부는 원고 가운데 A 씨 등 132명에게 1인당 최저 8000원에서 최대 1000만원까지 총 2억 5138만여 원을 지급하라고 판결했다. 빗썸은 지난 2017년 11월 11일 22시경부터 평소 10만 건 안팎이던 시간당 주문량이 20만 건 이상으로 지속됐다. 이처럼 대량의 매도·매수 대기 주문이 쌓인 상태에서 많은 양의 주문이 추가로 접수됨에 따라 데이터베이스(DB) 서버에 과부하가 발생했고, 이로 인해 DB서버가 주문 접수·거래 체결 등을 실시간으로 처리하지 못해 거래가 지연됐다. 주문 접수를 시도하는 회원의 단말기에는 '잠시 후 다시 시도해주세요' 등의 오류 메시지가 전달되면서 주문이 접수되지 않는 거래장애 상태가 발생했다. 오류메시지 발생 비율이 50% 이상 되자, 빗썸은 DB서버 데이터의 손상 위험이 있다고 판단해 회원들에게 전산장애가 생겼다고 공지하고 주문 접수를 차단하는 등 서비스 전체를 일시적으로 중단했다. 이후 서버 점검과 메모리 리셋, 유입 트래픽 제어 등 조치를 통해 약 1시간 30분 만에 거래를 재개했다. A 씨 등 투자자들은 "거래가 중단된 시점과 시스템이 안정된 시간 사이에 비트코인캐시(BCH)와 이더리움 클래식(ETC) 등 가상화폐의 가격이 급락했고, 그 시세 차액 상당의 손해를 입었다"며 빗썸을 상대로 소송을 냈다. 재판부는 "빗썸은 빗썸 사이트에 가입해 서비스 이용계약을 체결한 A 씨 등에게 시스템을 통해 가상화폐 거래를 할 수 있도록 서비스를 제공할 의무가 있고, 가상화폐 거래 중개 사이트 운영에 필요한 전반적인 시설과 시스템을 구축하고 유지·보수해 시스템이 원활하게 운영되도록 관리할 의무를 부담한다"며 "그런데 전산장애가 발생해 A 씨 등이 사이트에 접속하지 못하거나 매도 주문을 못하는 등 서비스를 이용하지 못해 빗썸은 서비스 이용계약에 따른 채무를 불이행했다. 빗썸은 A 씨 등에게 전산장애와 상당인과관계 있는 손해를 배상할 책임이 있다"고 밝혔다. 이어 "빗썸은 접속량 및 주문량 폭증으로 DB서버에 과부하가 발생할 수도 있다는 점을 알 수 있었을 것으로 보이는데도 전산장애가 발생하기 전까지 시스템 과부하를 해결할 수 있는 별다른 조치를 취하지 않았다"며 "위험관리 매뉴얼에 따라 DB서버의 과부하에 대처하기 위한 다양한 대책을 마련하고 있어야 함에도 그러한 조치를 취하지 않았다"고 했다. 또 "빗썸이 전자금융거래법상 전자금융업자가 아니어서 관련 규정의 규율 대상이 아니라고 하더라도, 그러한 사정만으로 빗썸이 운영하는 가상화폐거래소 시스템의 안정성에 대한 기준이 주식시장 시스템 안정성에 대한 기준보다 완화돼 적용돼야 한다고 보기 어렵다"며 "가상화폐 거래소는 휴일까지 포함해 모든 날 24시간 동안 거래가 가능하고, 단기적인 시세차익을 노리고 짧은 기간 동안 거래가 발생하는 점 등에 비춰보면 가상화폐 거래소를 이용하는 고객들로서는 가상화폐 거래소에 대해 주식시장에 준하는 시스템 안전성 내지 보다 더 안정적인 시스템을 기대하는 것이 합리적이라고 보인다"고 판시했다. 앞서 1심은 "전산장애 발생에 빗썸의 고의나 과실이 있다고 인정할 수 없을 뿐 아니라 전산장애의 발생으로 빗썸이 계약에 따른 채무를 이행하지 못한 것이 위법행위에 해당된다고 보기 어렵다"며 A 씨 등의 청구를 기각했다.

해킹으로 인해 회원들의 암호화폐가 유출되는 사고가 발생했을 경우 거래소는 피해를 입은 회원에게 해당 암호화폐를 인도하거나 시세 비율로 환산한 돈을 지급할 의무가 있다는 판결이 나왔다. 서울중앙지법 민사44단독 하성원 부장판사는 A씨가 모 암호화폐 거래소를 운영하는 B사를 상대로 낸 암호화폐 인도 청구 소송(2021가단5068564)에서 최근 원고일부승소 판결했다. B사가 운영하는 암호화폐 거래소는 2018년 6월 해킹을 당해 암호화폐가 유출되는 사고가 발생했다. 2017년 10월부터 이 거래소를 이용해왔던 A씨도 이 사고로 가지고 있던 암호화폐가 유출되는 피해를 입었다. B사는 2020년 12월 거래소 회원들에게 '미복구 암호화폐에 대해 복구 완료시까지 출금 및 거래가 불가능하지만, 서비스 운영을 통해 발생한 이익으로 단계적으로 갚아 나가겠다'는 취지의 내용을 공지했다. 하지만 A씨의 암호화폐는 복구되지 않았고, 결국 A씨는 "암호화폐를 인도하거나 이에 상당한 비율로 환산한 금액을 지급하라"며 소송을 냈다. 하 부장판사는 "B사 약관에 따르면 B사는 회원에게 암호화폐 거래 및 이에 부수하는 서비스를 제공한다고 정하고 있다"며 "암호화폐의 입출금은 암호화폐 거래에 당연히 수반되는 것이므로 이 또한 B사가 A씨에게 제공하는 서비스에 포함된다고 봄이 타당하고, 그에 따라 B사도 거래소 웹페이지를 통해 암호화폐 입출금 방법을 비롯해 출금한도와 화폐별 출금 수수료 등을 안내하고 있다"고 밝혔다. 이어 "A씨와 B사 사이에 형성된 암호화폐의 보관과 관련한 법률관계는 물건의 보관을 전제로 한 민법상 임치계약으로 볼 수는 없지만 이와 유사한 성질을 갖는 비전형계약에 해당한다"며 "B사는 암호화폐의 반환을 요구하는 A씨에게 이를 인도할 의무가 있다"고 설명했다. 또 "암호화폐에 대한 인도집행이 불능인 경우 B사는 A씨에게 변론종결일 당시 암호화폐 시가에 해당하는 코인당 5000여만원의 비율로 환산한 돈을 지급할 의무가 있다"며 "B사가 암호화폐의 인도의무를 다투는 이상 장래이행의 소로써 미리 청구할 필요도 인정된다"고 했다. 그러면서 "B사는 A씨에게 암호화폐를 입금주소로 인도하고, 암호화폐에 대한 강제집행이 불능일 때에는 코인당 5000여만원의 비율로 환산한 돈을 지급할 의무가 있다"고 판시했다.

시장점유율을 유지하기 위해 고객정보를 무단으로 이용해 선불폰(요금을 미리 내고 쓰는 휴대전화) 요금을 임의로 충전한 SK텔레콤에 벌금형이 확정됐다. 대법원 형사1부(주심 이기택 대법관)는 11일 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 기소된 SK텔레콤에 벌금 5000만원을 선고한 원심을 확정했다(2016도10102). 관련 업무를 담당한 이 회사 전·현직 팀장급 직원 2명에게는 징역 2년에 집행유예 3년이 확정됐다. SK텔레콤은 2010년 1월부터 2014년 8월까지 휴대전화 대리점 등과 공모해 이용정지 상태인 선불폰에 87만 차례에 걸쳐 임의로 요금을 충전하면서 고객 15만여명의 이름과 전화번호 등 개인정보를 무단 이용한 혐의를 받았다. 장기간 선불요금이 충전되지 않아 이용계약이 자동해지될 것으로 예상되는 선불폰을 임의로 충전해 가입회선을 유지하기 위한 목적이었다. 1,2심은 "SK텔레콤의 행위는 고객정보의 보유 기간 등 변경에 해당하는 것으로 이는 이용자에게 사전에 알리고 동의를 받아야 하는 부분"이라며 "이용자의 의사에 반해 선불폰 이용계약을 연장한 것은 고객의 개인정보자기결정권을 침해한 것"이라며 유죄 판결을 내렸다. 대법원 관계자는 "선불폰 이용계약 체결시 동의한 개인정보 수집·이용의 목적 범위에는 이동통신사가 임의로 이용자의 선불요금을 충전해 계약기간을 연장하는 것이 포함되지 않음을 명확히 하는 한편 이용자의 개인정보를 수집한 정보통신서비스 제공자가 직접 그 정보를 사용했더라도 목적 외 이용으로 처벌될 수 있음을 보여준 사례"라고 설명했다.

구글은 제3자에게 제공한 가입자의 개인정보와 서비스이용내역 현황을 가입자에게 공개할 의무가 있다는 판결이 나왔다. 이같은 의무는 구글 본사는 물론 한국 지사에도 있다는 취지다. 서울고법 민사4부(재판장 배기열 부장판사)는 오병일 진보네트워크센터 사무국장 등 6명(소송대리인 법무법인 이공)이 구글 인코퍼레이티드와 구글코리아를 상대로 낸 손해배상 등 청구소송(2015나2065729)에서 구글 한국지사인 구글코리아에도 이용자의 개인정보, 서비스이용내역을 제3자에게 제공한 현황을 공개하라며 최근 원고일부승소 판결했다. 앞서 1심은 미국 본사인 구글 인코퍼레이티드에게만 현황을 공개하라고 판결했다. 서울고법은 구글코리아도 정보통신서비스 제공자에 해당한다고 판단했다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제30조 2항은 '이용자는 정보통신서비스 제공자 등에 대하여 본인에 관한 개인정보를 제3자에게 제공한 현황 등에 대한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다'고 규정하고 있다. 구글코리아는 "서비스 제공 주체는 구글코리가 아닌 구글 인코퍼레이티드이므로 구글코리아는 정보통신서비스 제공자가 아니다"라고 주장했으나 받아들이지 않았다. 재판부는 "구글에서 제공하는 위치정보서비스 및 위치기반서비스 이용약관에는 구글코리아가 이 서비스 제공 주체로 명시돼 있고, 이용약관에 '위치정보를 제3자에게 제공하게 된다면, 한국의 관련 법률이 정한 바에 따라 이용자에게 이를 즉시 알려주고, 이용자는 제3자에게 제공된 이유 및 내용에 대해 열람, 고지, 오류 정정을 요구할 수 있다'는 내용이 기재돼 있다"고 밝혔다. 이어 "구글코리아는 전기통신사업법에 따른 부가통신사업신고를 했고, 그 신고서 제공 역무 내용으로 '인터넷 검색서비스, 인터넷 광고서비스 및 관련 서비스를 제공함'이라고 기재했다"며 "따라서 구글코리아는 정보통신망법상 정보통신서비스 제공자에 해당하므로 이용자들의 요구에 따라 개인정보 및 서비스 이용내역을 제3자에게 제공한 현황을 공개할 의무가 있다"고 설명했다. 다만 재판부는 1심과 마찬가지로 미국 법령에 따라 비공개 의무가 있는 사항은 제외한 내용만 공개하라고 판시했다. 또 원고들의 손해배상청구도 이유 없다며 기각했다. 미 중앙정보국(CIA) 직원 에드워드 스노든은 2013년 6월 국가안보국(NSA)의 대규모 인터넷 정보 수집 감시 프로그램인프리즘(PRISM) 프로그램을 폭로해 전세계에 큰 파장을 일으켰다. 오씨 등은 2014년 2월 구글이 사용자 정보를 NSA에 넘겼을 가능성이 있다며 개인정보를 제3자에게 제공한 사실이 있는지 여부와 제3자에게 관련 정보를 제공했다면 그 내역을 알려달라고 요청했지만, 구글 측은 응답을 하지 않았다. 오씨 등은 석달 뒤 다시 같은 내용의 요청서를 보냈지만 답이 없자 소송을 냈다. 1심은 "구글 서비스 약관은 서비스 제공 주체를 구글 인코퍼레이티드로 명시하고 있으므로 구글 서비스 이용계약 당사자는 구글 인코퍼레이티드라고 봐야 한다"며 "구글코리아가 구글 서비스의 국내 이용자들을 위한 업무 또는 국내 이용자들의 개인정보 처리에 관한 업무를 일부 담당하고 있고 구글 서비스 도메인 주소의 등록 명의자가 구글코리아로 돼 있더라도, 이는 구글 인코퍼레이티드가 제공하는 구글 서비스 운영에 보조적 역할을 하는 것에 불과하다"며 구글코리아의 책임은 인정하지 않았다.

해킹에 의한 개인정보 유출 사고로 피해를 입은 고객들이 케이티(KT)를 상대로 낸 손해배상 청구소송에서 법원이 엇갈린 판결을 내려 항소심 판단이 주목된다. 인터넷이라는 특성상 모든 사이트가 해커의 불법적인 침입에 노출될 수밖에 없고 완벽한 보안을 갖춘다는 것은 어렵다고 판단한 재판부가 있는 반면, 정보통신업체는 사회통념상 요구되는 수준 이상의 보호조치를 다해야 한다면서 보다 큰 책임을 강조한 재판부도 있다. 서울중앙지법 민사6단독 심창섭 판사는 17일 A씨 등 39명이 KT를 상대로 낸 손해배상 청구소송(2014가소413127)에서 "KT는 1인당 10만원씩 지급하라"며 원고일부승소 판결했다. 2013년 8월부터 2014년 2월까지 KT가 운영하는 마이올레 홈페이지에서 해킹 사고가 발생해 개인정보가 대거 유출됐다. 해커는 이 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력하는 해킹프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 빼냈다. 이에 A씨 등은 2014년 5월 "KT의 관리감독 부실로 개인정보가 유출됐다"며 "1인당 20만원을 배상하라"며 소송을 냈다. 심 판사는 "정보통신서비스 제공자는 사회통념상 합리적으로 기대 가능한 기술수준으로 개인정보를 관리하고 있지만 해커들은 항상 기술수준을 뛰어넘는 방법을 사용한다"며 "KT가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 기술적·관리적 보호조치를 한 것만으로 개인정보의 안전성 확보에 필요한 조치를 다했다고 볼 수 없다"고 밝혔다. 이어 "KT는 7개월간에 걸쳐 1170만건의 개인정보 유출이 이뤄졌는데도 이를 확인하지 못했다"며 "보안관련 인력을 보강하거나 서버를 외부접속용과 내부 접속용으로 분리하는 등 해킹 사고를 방지하기 위한 조치도 취하지 않았다"고 지적했다. 그러나 지난달 20일 서울중앙지법 민사22부(재판장 전지원 부장판사)는 B씨 등 같은 피해를 당한 3645명이 KT를 상대로 낸 손해배상 청구소송(2014가합553622)에서 원고패소 판결했다. 재판부는 "정보통신서비스 제공자가 법에서 정하고 있는 기술적·관리적 보호조치를 다했다면 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 보기 어렵다"고 밝혔다. 이어 "하루 접속 건수가 3300만여건에 이르는 마이올레 홈페이지의 시스템과 같이 방대한 규모의 모든 웹서버 접속 로그 기록을 실시간 분석하거나 상시적으로 사후 분석하는 것은 현실적으로 불가능하다"며 "해커 접속(34만건)은 1% 미만이어서 이상행위를 탐지하기도 어려웠다"고 설명했다. 그러면서 "개인정보 등을 송·수신할 때 암호화의 대상 범위는 일반인이 접근 가능한 인터넷 공중망을 의미한다"며 "해커가 암호화되지 않은 주민등록번호를 확인한 곳은 대리점 PC 내부 영역으로 정보통신망법상 암호화가 요구되는 영역이 아니다"라고 판시했다. 정보통신망법 시행령 제6조 3항은 정보통신서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다고 규정하고 있다. 앞서 대법원은 2015년 2월 KT와 유사하게 해킹에 의해 개인정보가 유출된 경매업체 옥션 사건에서 "온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 업체에 개인정보 유출에 대한 책임을 지우기 어렵다"고 판결했다(2013다43994). 한편 한국소비자원(원장 한견표)은 지난 20일 개인정보 유출 피해를 입은 KT 고객들이 "위약금 없이 서비스를 해지할 수 있도록 해달라"며 신청한 조정을 각하했다. 당시 KT는 개인정보 유출 피해를 본 고객들이 서비스를 해지하겠다고 하자 위약금을 규정대로 물려 사회적 비난을 받았다. 경실련은 2014년 7월 피해고객 57명과 함께 소비자원에 위약금을 물리지 않도록 집단분쟁조정을 신청했다. 그러나 소비자원은 "법에서 정한 최소한의 기술적·관리적 보호조치를 취했으므로 이용계약 해지에 귀책사유가 없고, 개인정보 유출로 재산적 피해는 발생하지 않았다"는 이유로 각하 결정했다. 이에 경실련은 "소비자원은 합리적 설명 없이 절차를 개시하지 않은 채 사건을 장기간 방치해, 다수 피해자가 어쩔 수 없이 해지 위약금을 부담하거나 남은 약정 기간을 채울 수밖에 없었다"며 소비자원에 대한 공익감사 청구와 행정소송 제기를 검토하겠다고 밝혔다.

법원이 구글 본사에 "미국 정보기관 등 제3자에게 이용자 정보를 제공한 내역을 공개하라"는 판결을 내렸다. 법원은 이용자가 구글에 가입하면서 '서비스 관련 분쟁이 생기면 미국의 주(州) 법률에 따르기로 한다'는 내용의 약관에 동의했더라도 이는 국제재판권관할과 준거법을 정하는 '국제사법' 위반으로 무효이며 따라서 국내에서 소송제기가 가능하다고 봤다. 다만 구글 측의 손해배상 책임은 인정하지 않았다. 서울중앙지법 민사22부(재판장 박형준 부장판사)는 구글메일 이용자인 오병일 진보네트워크센터 사무국장 등 6명명(소송대리인 법무법인 이공)이 "가입자의 개인정보·서비스이용내역을 제3자에게 제공한 현황을 공개하고 300만원을 배상하라"며 미국 구글 본사와 구글코리아를 상대로 낸 소송(2014가합38116)에서 원고일부승소 판결했다. 구글은 "가입 약관을 통해 모든 소송은 독점적으로 미국 캘리포니아주 산타클라라 카운티 연방 또는 주 법원에서 하기로 당사자 간 합의를 했으므로 한국 법원에서의 소송은 각하돼야 한다"고 주장했지만 받아들여지지 않았다. 재판부는 판결문에서 "구글이 국내 이용자를 위한 별도의 도메인 주소를 운영하면서 한국어로 된 특화된 서비스를 제공하고 있고, 국내 기업이나 개인에게서 광고를 수주하는 등 영업활동을 하고 있다"며 "따라서 구글과 이용자가 대한민국 법원의 국제재판관할권을 배제하기로 합의했더라도 이런 합의는 국제사법 제27조를 위반해 효력이 없다"고 밝혔다. 이 조항은 '소비자의 상대방이 그 국가 외의 지역에서 그 국가에서 광고에 의한 거래의 권유 등 직업 또는 영업활동을 행하거나 그 국가 외의 지역에서 구 국가로 광고에 의한 거래의 권유 등 직업 또는 영업활동을 행하고, 소비자가 그 국가에서 계약체결에 필요한 행위를 한 경우 당사자가 준거법을 선택하더라도 소비자의 상거소가 있는 국가의 강행규정에 의해 소비자에게 부여되는 보호를 박탈할 수 없다'고 규정하고 있다. 재판부는 또 "구글이 당사자 간 합의를 이유로 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)' 제30조에서 정한 개인정보 제3자 제공현황 등의 공개를 요구할 수 있는 이용자의 권리를 행사할 수 없도록 하는 것은 우리나라 현행법상의 강행규정에 어긋난다"며 "따라서 구글은 이용자들이 요청하는 경우 특별한 사정이 없는 한 개인정보 등을 공개할 의무가 있다"고 판시했다. 하지만 손해배상책임은 인정하지 않았다. 재판부는 "현황 공개 요청에 필요한 조치를 하지 않았다는 사정만으로 재산상·정신적 손해를 입었다고 보기 어렵다"고 설명했다. 원고 6명 가운데 구글이 제공하는 개인메일을 이용하지 않고 기업메일 서비스만 이용하고 있는 2명의 청구도 각하했다. 기업메일 서비스는 국제사법이 정하고 있는 소비자계약의 보호대상인 '직업 또는 영업활동 외의 목적으로 체결되는 계약'에 해당하지 않는다는 이유다. 재판부는 "원고 가운데 김씨 등 2명은 구글에서 정한 약관에 따라 미국 캘리포니아주 산타클라라 카운티의 연방 또는 주법원에서만 소를 제기할 수 있다"고 밝혔다. 오씨 등은 지난해 2월 구글에 '제3자에게 개인정보 등을 제공한 사실이 있는지 여부와 제3자에게 관련 정보를 제공했다면 그 내역을 달라'며 요청서를 보냈지만 답변을 듣지 못했다. 오씨 등은 석달 뒤 다시 요청서를 보냈지만 응답이 없자 소송을 냈다.