G마켓이 해외 보안업체를 상대로 광고 클릭 데이터 유실에 따른 손해배상 청구 소송을 제기했지만 패소했다. 서울중앙지법 민사45부(재판장 김경수 부장판사)는 지난달 G마켓이 라드웨어코리아와 제이티시스템즈를 상대로 제기한 손해배상 소송에서 원고패소 판결했다(2021가합592311). 오픈마켓을 운영하는 ‘G마켓’은 마켓에 게시되는 제품의 광고료가 매출이다. 광고료 수입은 광고 클릭 수와 단가에 따라 산정된다. 이에 따라 G마켓은 광고 클릭 데이터와 서버를 보호하기 위한 보안 시스템을 구축해 왔다. G마켓은 2013년 라드웨어 본사가 제조한 보안장비 제품을 서버에 설치했다. 2017년에는 라드웨어 본사가 제조한 보안 제품을 제이티시스템즈로부터 공급받는 계약을 제이티시스템즈와 체결했다. 제이티시스템즈는 2017~2021년 G마켓 시스템에 대한 유지 보수 업무를 수행하기도 했다. 2021년 5월 G마켓은 대규모 할인 행사를 진행했다. 그런데 당시 사이트 방문자 수, 판매 매출이 크게 증가했는데도 광고 매출이 예상에 못미쳤다. 조사 결과 접속자가 광고를 클릭해도 데이터가 서버로 전달되지 않는 현상이 확인됐다. 광고 클릭 데이터의 URL 길이가 1236 bytes(바이츠)를 초과하는 경우 고객이 클릭한 URL 주소가 제대로 처리되지 않는 현상(URL 길이 제한)이 파악됐다. 같은 해 G마켓은 “라드웨어코리아와 제이티시스템즈가 공급한 보안 장비가 동작하면서 특정 URL을 처리하지 못하는 결함이 있었다. 이로 인해 광고 클릭 데이터가 누락돼 광고수수료 손해가 발생했다”며 약 16억 원을 배상하라고 주장했다. 재판부는 G마켓의 주장을 받아들이지 않았다. 재판부는 “이 사건 제품에 URL 길이 제한이 존재하는 것은 국제 표준 통신 규약 기준에 부합하도록 설계되었기 때문”이라며 “설계상 결함에 해당한다거나 그 밖에 통상적으로 기대되는 안정성이 결여됐다고 할 수 없다”고 판단했다. 또 “(사용자가 하나의 패킷에서) 실제로 전송 가능한 URL 길이는 대략 1200~1230 bytes 정도라는 점은 네트워크 보안 운영 담당자 등 업계 사람들에게 일반적으로 알려져 있는 내용으로 보인다”며 “URL의 길이는 G마켓과 같이 인터넷사이트를 운영하는 서비스제공자 측에서 설계하는 것”이라고 말했다. 이어 “(G마켓은) URL 데이터를 일정 bytes 이하로 설정함으로써 광고 클릭 데이터가 유실되는 문제를 회피할 수 있다”고 덧붙였다. 앞서 라드웨어코리아가 G마켓에 해당 문제를 보고했을 때, G마켓은 보완을 요청하지 않았고 관련 문제를 놓치고 있었다는 반응을 보였다는 점도 고려됐다. G마켓은 최근 제이티시스템즈를 상대로 항소했다. 라드웨어코리아에 대한 판결은 확정됐다. 라드웨어코리아를 대리한 법무법인 화우는 사건을 총괄한 이광욱(53·사법연수원 28기)·우수연(46·35기) 변호사·김명안 국제중재소송팀 팀장, 서울중앙지법 기술전문조사관 출신의 최홍석(46·변호사시험 1회) 변호사, 디도스에 대한 세부 검토를 맡은 박성현(31·10회) 변호사의 협업으로 승소를 이끌었다. 사건 대응을 함께하며 라드웨어 이스라엘 본사와 소통한 김명안 외국변호사(미국 캘리포니아주)는 “이스라엘 관습법 체계에 익숙한 의뢰인과의 정확한 소통, 국내 팀과의 공조 등이 성공적인 분쟁 해결의 발판이 됐다”며 “보안 소프트웨어 제품 하자 분쟁에 대한 국제적 선례가 마련된 점에 보람을 느낀다”고 했다.

방송통신심의위원회가 정보통신서비스제공자 등에 대해 SNI 차단 방식을 적용해 불법 웹사이트에 대한 이용자들의 접속을 차단하도록 시정을 요구한 행위는 헌법에 어긋나지 않는다는 헌법재판소 결정이 나왔다. 헌재는 26일 A 씨 등이 "방통위의 시정 요구가 통신의 비밀과 자유 및 알 권리를 침해한다"며 청구한 헌법소원사건(2019헌마158)에서 재판관 전원일치 의견으로 기각 결정했다. 방통위는 2018년 6월경 방통위, 정보통신서비스제공자 등이 참여하는 협의체를 구성해 보안접속 프로토콜(https)을 이용해 통신하는 경우에도 불법정보 등에 대한 접속차단이 가능하도록 'SNI(Server Name Indication, 서버 이름 표시) 차단 방식'을 도입하기로 협의했다. 방통위는 주식회사 케이티(KT) 등 7개 정보통신서비스제공자 등에 대해 기존의 차단 대상 및 방통위가 향후 접속차단 시정요구를 하는 웹사이트에 대해 2019년 2월 11일부터는 기존의 인터넷 주소(URL) 차단 방식뿐 아니라 SNI 차단 방식도 함께 적용하도록 해달라는 취지를 기재한 협조요청 공문을 발송했다. 이후 방통위는 2019년 2월 11일 KT 외 9개 정보통신서비스제공자 등에 대해 불법정보 등에 해당하는 895개 웹사이트에 대한 이용자들의 접속을 차단하도록 시정을 요구했다. 인터넷 이용자인 A 씨 등은 이러한 시정 요구가 기본권을 침해한다며 2019년 2월 헌법소원을 냈다. 헌재는 "이 사건 시정 요구는 그 목적이 정당하고, 보안접속 프로토콜을 사용하는 경우에도 접근을 차단할 수 있도록 SNI를 확인해 불법정보 등을 담고 있는 특정 웹사이트에 대한 접속을 차단하는 것은 수단의 적합성이 인정된다"고 판단했다. 이어 "보안접속 프로토콜이 일반화되어 기존의 방식으로는 차단이 어렵기 때문에 SNI 차단 방식을 동원할 필요가 있고, 인터넷을 통해 유통되는 정보는 복제성, 확장성, 신속성을 가지고 있어 사후적 조치만으로는 이 사건 시정요구의 목적을 동일한 정도로 달성할 수 없다"며 "시정요구의 상대방인 정보통신서비스제공자 등에 대해서는 의견진술과 이의신청의 기회가 보장되어 있고, 해외에 서버를 둔 웹사이트의 경우 다른 조치에 한계가 있어 접속을 차단하는 것이 현실적인 방법으로 침해의 최소성 및 법익의 균형성도 인정된다"고 설명했다. 헌재 관계자는 "방통위의 시정요구는 과거부터 사용되던 DNS 차단 방식, URL 차단 방식 외에 보다 기술적으로 고도화된 SNI 차단 방식을 함께 적용하는 것을 전제로 하더라도, 이용자들의 통신의 비밀과 자유 및 알 권리를 침해하지 않는다고 판단한 결정"이라고 말했다.

방송 재승인 심사 과정에서 임직원들의 범죄 사실을 고의로 누락해 방송법을 위반한 롯데홈쇼핑에 대해 정부가 6개월 간 새벽 시간대 방송 송출을 금지하는 업무정지 처분을 내린 것은 정당하다는 대법원 판결이 나왔다. 대법원 특별1부(주심 노태악 대법관)는 롯데홈쇼핑이 과학기술정보통신부장관을 상대로 낸 업무정지 처분 취소소송(2022두33620)에서 원고패소 판결한 원심을 지난달 30일 확정했다. 업무정지 처분이 확정된 롯데홈쇼핑은 앞으로 6개월 간 오전 2∼8시까지 방송을 할 수 없게 됐다. 앞서 롯데홈쇼핑의 전·현직 임원 10명은 2014년 3월 납품업체로부터 편의제공 대가로 금품을 받은 혐의 등으로 기소됐다. 그런데 롯데홈쇼핑은 같은 해 8월 미래창조과학부(현 과학기술정보통신부)에 방송채널사용사업 재승인 신청서를 내면서 이 같은 사실을 누락했다. 정부는 이듬해인 2015년 5월 롯데홈쇼핑에 3년간 방송채널사용사업 재승인을 했지만, 2016년 진행된 감사원의 미래부 감사 과정에서 롯데홈쇼핑의 누락 사실이 드러나자 영업정지 6개월 처분(1차 처분)을 내렸다. 이에 불복한 롯데홈쇼핑은 2016년 8월 과기부를 상대로 행정소송을 냈다. 1심은 "롯데홈쇼핑이 허위 기타 부정한 방법으로 재승인을 얻었다는 점이 증명되지 않았다"며 롯데홈쇼핑의 손을 들어줬다. 2심은 롯데홈쇼핑의 방송법 위반 사실을 인정하면서도 "업무정지 처분의 내용이 재량권을 일탈·남용해 과도하다"며 1심 결론을 유지했다. 행정소송에서 패소한 과기부가 2019년 5월 다시금 롯데홈쇼핑에 6개월 간 새벽 시간대(오전 2~8시) 방송송출을 금지하는 업무정지 처분(2차 처분)을 하자, 롯데홈쇼핑은 또다시 소송을 냈다. 1심과 2심은 "롯데홈쇼핑이 허위 기타 부정한 방법으로 재승인을 받은 점이 인정된다"며 2차 처분의 정당성을 인정했다. 대법원도 이 같은 원심 판단을 받아들였다. 한편 대법원 형사2부(주심 이동원 대법관)는 1일 업무상 횡령 등의 혐의로 기소된 강현구 전 롯데홈쇼핑 사장에게 징역 1년 6개월에 집행유예 2년을, 롯데홈쇼핑에 벌금 2000만 원을 선고한 원심도 각각 확정했다. 강 전 사장은 2015년 방송 재승인 심사 때 허위 사업계획서를 제출한 혐의와 억대 비자금을 조성해 정치권 등에 후원금 명목으로 제공한 혐의 등을 받았다.

비밀번호나 화면보호기 등 보안장치가 설정돼 있지 않은 컴퓨터에 해킹프로그램을 몰래 설치해 타인의 카카오톡 등 계정 아이디와 비밀번호를 알아낸 것은 전자기록 등 내용 탐지죄에 해당하지 않는다는 대법원 판결이 나왔다. 대법원 형사2부(주심 민유숙 대법관)는 최근 전자기록 등 내용 탐지 등의 혐의로 기소된 A씨에게 카카오톡 등의 아이디와 비밀번호를 알아낸 행위에 대해서는 무죄로 판단하고, 나머지 혐의에 대해 유죄로 판단해 징역 10개월에 집행유예 2년을 선고한 원심을 확정했다(2021도8900). A씨는 2018년 8월부터 한달간 경기도에 있는 한 회사 사무실에서 직장 동료인 B(여)씨의 노트북에 해킹 프로그램을 몰래 설치해 B씨의 네이트온, 카카오톡, 구글 아이디와 비밀번호를 알아냈다. A씨는 이를 이용, B씨의 계정에 접속해 B씨가 다른 사람들과 나눈 대화 내용, 메시지, 사진을 다운받는 등 총 40회에 걸쳐 정당한 접근권한 없이 정보통신망에 침입하고 정보통신망에 의해 처리·보관 또는 전송되는 피해자의 비밀을 침해한 혐의 등으로 기소됐다. 검찰은 A씨가 해킹프로그램을 이용해 B씨의 아이디와 비밀번호를 알아낸 것에 대해서는 전자기록 등 내용 탐지 혐의로, 이 같은 수법을 통해 알아낸 아이디와 비밀번호로 B씨 계정에 접속한 행위와 대화 내용 등을 다운로드 받은 행위에 대해서는 정보통신망 침해죄 및 전자기록 등 내용 탐지 혐의로 기소했다. 1심은 A씨의 혐의를 모두 유죄로 판단해 징역 2년을 선고했다. 하지만 2심은 A씨가 해킹프로그램을 이용해 B씨의 아이디와 비밀번호를 알아낸 혐의에 대해서는 무죄로 판단하고 나머지 혐의는 유죄로 인정해 징역 10개월에 집행유예 2년을 선고했다. 2심은 "형법 제316조 2항의 전자기록 등 내용 탐지죄는 봉함 기타 비밀장치한 사람의 편지, 문서, 도화 또는 전자기록등 특수매체기록을 기술적 수단을 이용해 그 내용을 알아내는 행위를 처벌하는 죄"라며 "'전자기록 등 특수매체기록'이 되기 위해서는 특정인의 의사가 표시돼야 하는데, 이 사건 아이디와 비밀번호 자체는 특정인의 의사를 표시한 것으로 보기 어려운 만큼 특수매체기록으로 볼 수 없으므로 A씨가 B씨의 아이디와 비밀번호를 알아낸 것은 특수매체기록을 탐지한 것에 해당하지 않는다"고 설명했다. 대법원은 원심 결론은 유지하면서도 세부 판단은 달리했다. 아이디와 비밀번호도 '전자기록 등 특수매체기록'에는 해당하지만, 보안장치가 설정되지 않은 노트북은 '봉함 기타 비밀장치한' 것으로 볼 수 없어 구성요건 해당성이 없다고 본 것이다. 형법 제316조 2항은 '봉함 기타 비밀장치한 사람의 편지, 문서, 도화 또는 전자기록등 특수매체기록을 기술적 수단을 이용하여 그 내용을 알아낸 자는 3년 이하의 징역이나 금고 또는 500만원 이하의 벌금에 처한다'고 규정하고 있다. 재판부는 우선 "개정 형법이 전자기록 등 특수매체기록을 범죄의 행위 객체로 신설·추가한 입법취지, 전자기록 등 내용 탐지죄의 보호법익과 그 침해행위의 태양 및 가벌성 등에 비춰 볼 때, 피해자의 아이디와 비밀번호는 전자방식에 의해 피해자의 노트북 컴퓨터에 저장된 기록으로서 형법 제316조 2항의 '전자기록 등 특수매체기록'에 해당한다"고 밝혔다. 다만 "전자기록 등 내용 탐지죄는 봉함 기타 비밀장치한 전자기록 등 특수매체기록을 기술적 수단을 이용해 그 내용을 알아낸 자를 처벌하는 규정이기에 전자기록 등 특수매체기록에 해당하더라도 봉함 기타 비밀장치가 되어 있지 않은 것은 이를 기술적 수단을 동원해서 알아냈더라도 전자기록 등 내용 탐지죄가 성립하지 않는다"고 설명했다. 그러면서 "A씨가 B씨의 노트북에 해킹 프로그램을 몰래 설치했고 해당 프로그램이 컴퓨터의 사용자가 키보드로 입력하는 내용이나 방문한 웹사이트 등을 탐지해 이를 텍스트 파일 형식으로 저장한 후 이메일 등의 방법으로 프로그램 설치자에게 전송해 주는 속칭 '키로그' 프로그램인데다, A씨가 프로그램을 통해 B씨가 각 계정에 접속하는 과정에서 컴퓨터 키보드에 입력한 아이디 등을 알아낸 사실을 알 수 있지만 그렇다고 하더라도 아이디 등이 기록된 텍스트 파일에 봉함 기타 비밀장치가 되어 있는 것으로 볼 수 없고 오히려 B씨의 노트북 컴퓨터 그 자체에는 비밀번호나 화면보호기 등 별도의 보안장치가 설정되어 있지 않았다"며 "아이디 등이 형법 제316조 2항에 규정된 전자기록 등 특수매체기록에는 해당하더라도 별도의 보안장치가 설정되어 있지 않은 등 비밀장치가 된 것으로 볼 수 없는 이상 전자기록 등 내용 탐지죄가 성립하지 않는다"고 판시했다. 한편 A씨가 해킹으로 알아낸 정보를 바탕으로 B씨의 계정에 접속하고 B씨의 대화 내용 등을 다운로드 받은 행위에 대해 유죄로 판시한 원심 부분은 A씨와 검사가 상고하지 않아 항소심에서 그대로 확정됐었다.

2012년 발생한 KT 개인정보 유출 사고에서 회사의 책임을 인정한 1심 판결이 항소심에서 뒤집혔다. 인터넷이라는 특성상 모든 사이트가 해커의 불법적인 침입에 노출될 수밖에 없고 완벽한 보안을 갖추기는 어렵다는 취지다. 서울중앙지법 민사4부(재판장 송인권 부장판사)는 강모씨 등 KT 가입자 81명이 KT를 상대로 낸 손해배상청구소송(2015나61155)에서 원고일부승소 판결한 1심을 깨고 최근 원고패소 판결했다. 재판부는 "KT가 개인정보 유출방지에 관한 기술적·관리적 보호조치를 이행하지 않은 과실로 인해 사고가 발생했다고 보기 어렵다"고 밝혔다. 그러면서 "KT는 규정을 준수해 접속기록을 확인해왔다"며 "해커가 정상적 서버를 우회해 접속기록을 남기지 않고 정보를 유출했을 가능성을 예상하기 어려웠다"고 판시했다. 앞서 1심은 "KT가 고객정보를 보호하기 위한 노력을 다하지 못했다"며 "강씨 등에게 10만원씩을 지급하라"고 판결했다. 2012년 해커 2명에 의해 KT 가입자 870만명의 개인정보가 무분별하게 유출되는 사고가 발생했다. 해커들은 고객정보를 몰래 조회할 수 있는 프로그램을 만들어 이름과 주민등록번호를 비롯해 휴대전화 가입일, 고객 번호, 사용 요금제, 기기 변경일 등의 개인정보를 빼냈다. KT는 이러한 유출 사태를 5개월간 파악하지 못하다 뒤늦게 내부 보안점검을 통해 해킹 사실을 파악하고 경찰에 수사를 의뢰했다. 이에 강씨 등은 "KT의 관리·감독 부실로 개인정보가 유출됐다"며 "1인당 30만원을 배상하라"며 소송을 냈다.

근로자가 개인정보 침해를 우려해 회사 업무용 앱 설치를 거부하더라도 이를 징계사유로 삼을 수는 없다는 판결이 나왔다. 수원지법 성남지원 민사2부(재판장 김상호 부장판사)는 이모씨가 ㈜KT를 상대로 낸 정직처분 무효확인 등 청구소송(2015가합206504)에서 "KT가 이씨에게 내린 징계처분과 전직명령은 무효"라며 "회사의 정직처분으로 이씨가 받지 못한 임금 240여만원도 지급하라"며 최근 원고승소 판결했다. KT는 2014년 무선통신 품질을 측정하기 위한 스마트폰 애플리케이션을 업그레이드하면서 이씨 등 업무지원단 소속 직원들에게 업무용 앱 설치를 지시했다. 해당 앱은 카메라, 통화, 현재위치, 저장된 연락처 등 12개 항목에 접근할 수 있었다. 당시 이씨의 휴대폰은 회사에서 업무용으로 지급한 스마트폰이었는데, 이씨는 "개인정보 침해가 우려된다"며 설치를 거부하고 "다른 스마트폰을 지급해주거나 앱 설치가 필요하지 않은 다른 업무를 배정해달라"고 요구했다. KT는 이씨의 요청을 거부하고 사무실에 대기시키며 앱 설치와 업무수행을 촉구했지만 이씨가 계속 거부하자 성실의무위반 및 조직내 질서존중 의무 위반을 이유로 정직 1개월의 징계처분을 내렸다. 정직 기간이 끝난 후 다른 팀으로 보내진 이씨는 "징계처분과 전직명령을 취소하고, 정직 기간 동안 못 받은 임금도 달라"며 소송을 냈다. 재판부는 "비록 이씨가 사용하던 휴대폰의 명의가 회사로 되어있고 단말기 금액과 통신비도 회사가 부담하고 있다고 하더라도, 이는 노사간 단체교섭을 통해 업무 구분제한없이 지급되는 것으로 임금보전적·복리후생적인 성격이 있는 것"이라며 "지원 조건에서도 본인이 사용하는 것 외에는 다른 제한 조건이 없고 직원들이 사실상 개인용으로 사용하는 점 등을 종합해보면 이씨에게 제공된 업무용 단말기에 저장된 이씨의 개인정보는 개인정보 보호법상의 보호대상에 해당된다"고 밝혔다. 이어 "과학기술의 진보에 따라 기업의 근로감시활동이 전자장비와 결합돼 확대됨에 따라 근로자의 인격권 내지 사생활 침해우려가 고조되고 있지만, 앱을 이용하는 대다수의 이용자가 서비스 제공자가 본인 단말기의 정보를 얼마나 수집하고 어디까지 활용할 수 있는지 정확히 알지 못하고 있다"며 "이러한 상황에서 근로자는 업무수행의 과정이나 방법 등과 관련된 자신의 개인정보자기결정권을 사용자가 존중해 줄것을 요구할 수 있다고 봐야 한다"고 설명했다. 그러면서 "실제 앱 설치 당시 상당한 범위의 개인정보에 접근할 수 있는 권한이 요구된다는 공지가 반복되었고, 이 공지는 업무와는 무관한 개인정보 수집이 발생할 수도 있다는 우려를 낳기에 충분했다"며 "이씨가 앱 설치를 하지 않아 업무수행을 하지 못했다는 점만으로 성실의무 위반이라는 징계사유가 있다고 볼 수 없으므로 징계처분은 효력이 없고 징계처분을 전제로 한 전직명령 역시 무효"라고 판시했다.

해킹에 의한 개인정보 유출 사고로 피해를 입은 고객들이 케이티(KT)를 상대로 낸 손해배상 청구소송에서 법원이 엇갈린 판결을 내려 항소심 판단이 주목된다. 인터넷이라는 특성상 모든 사이트가 해커의 불법적인 침입에 노출될 수밖에 없고 완벽한 보안을 갖춘다는 것은 어렵다고 판단한 재판부가 있는 반면, 정보통신업체는 사회통념상 요구되는 수준 이상의 보호조치를 다해야 한다면서 보다 큰 책임을 강조한 재판부도 있다. 서울중앙지법 민사6단독 심창섭 판사는 17일 A씨 등 39명이 KT를 상대로 낸 손해배상 청구소송(2014가소413127)에서 "KT는 1인당 10만원씩 지급하라"며 원고일부승소 판결했다. 2013년 8월부터 2014년 2월까지 KT가 운영하는 마이올레 홈페이지에서 해킹 사고가 발생해 개인정보가 대거 유출됐다. 해커는 이 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력하는 해킹프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 빼냈다. 이에 A씨 등은 2014년 5월 "KT의 관리감독 부실로 개인정보가 유출됐다"며 "1인당 20만원을 배상하라"며 소송을 냈다. 심 판사는 "정보통신서비스 제공자는 사회통념상 합리적으로 기대 가능한 기술수준으로 개인정보를 관리하고 있지만 해커들은 항상 기술수준을 뛰어넘는 방법을 사용한다"며 "KT가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 기술적·관리적 보호조치를 한 것만으로 개인정보의 안전성 확보에 필요한 조치를 다했다고 볼 수 없다"고 밝혔다. 이어 "KT는 7개월간에 걸쳐 1170만건의 개인정보 유출이 이뤄졌는데도 이를 확인하지 못했다"며 "보안관련 인력을 보강하거나 서버를 외부접속용과 내부 접속용으로 분리하는 등 해킹 사고를 방지하기 위한 조치도 취하지 않았다"고 지적했다. 그러나 지난달 20일 서울중앙지법 민사22부(재판장 전지원 부장판사)는 B씨 등 같은 피해를 당한 3645명이 KT를 상대로 낸 손해배상 청구소송(2014가합553622)에서 원고패소 판결했다. 재판부는 "정보통신서비스 제공자가 법에서 정하고 있는 기술적·관리적 보호조치를 다했다면 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 보기 어렵다"고 밝혔다. 이어 "하루 접속 건수가 3300만여건에 이르는 마이올레 홈페이지의 시스템과 같이 방대한 규모의 모든 웹서버 접속 로그 기록을 실시간 분석하거나 상시적으로 사후 분석하는 것은 현실적으로 불가능하다"며 "해커 접속(34만건)은 1% 미만이어서 이상행위를 탐지하기도 어려웠다"고 설명했다. 그러면서 "개인정보 등을 송·수신할 때 암호화의 대상 범위는 일반인이 접근 가능한 인터넷 공중망을 의미한다"며 "해커가 암호화되지 않은 주민등록번호를 확인한 곳은 대리점 PC 내부 영역으로 정보통신망법상 암호화가 요구되는 영역이 아니다"라고 판시했다. 정보통신망법 시행령 제6조 3항은 정보통신서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다고 규정하고 있다. 앞서 대법원은 2015년 2월 KT와 유사하게 해킹에 의해 개인정보가 유출된 경매업체 옥션 사건에서 "온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 업체에 개인정보 유출에 대한 책임을 지우기 어렵다"고 판결했다(2013다43994). 한편 한국소비자원(원장 한견표)은 지난 20일 개인정보 유출 피해를 입은 KT 고객들이 "위약금 없이 서비스를 해지할 수 있도록 해달라"며 신청한 조정을 각하했다. 당시 KT는 개인정보 유출 피해를 본 고객들이 서비스를 해지하겠다고 하자 위약금을 규정대로 물려 사회적 비난을 받았다. 경실련은 2014년 7월 피해고객 57명과 함께 소비자원에 위약금을 물리지 않도록 집단분쟁조정을 신청했다. 그러나 소비자원은 "법에서 정한 최소한의 기술적·관리적 보호조치를 취했으므로 이용계약 해지에 귀책사유가 없고, 개인정보 유출로 재산적 피해는 발생하지 않았다"는 이유로 각하 결정했다. 이에 경실련은 "소비자원은 합리적 설명 없이 절차를 개시하지 않은 채 사건을 장기간 방치해, 다수 피해자가 어쩔 수 없이 해지 위약금을 부담하거나 남은 약정 기간을 채울 수밖에 없었다"며 소비자원에 대한 공익감사 청구와 행정소송 제기를 검토하겠다고 밝혔다.

영화나 애니메이션 등 저작물의 불법 업로드와 다운로드를 방치한 웹하드 운영자의 범죄수익을 추징할 때에는 이용자들이 파일을 불법 업로드한 때가 아니라 다운로드한 때를 기준으로 추징금을 계산해야 한다는 대법원 판결이 나왔다. 대법원 형사3부(주심 박보영 대법관)는 2009년 9월부터 2011년 6월까지 웹하드인 A사이트를 운영하면서 저작권이 있는 영상파일 등을 회원들이 불법으로 올리고 내려받는 것을 알면서도 방치한 혐의(저작권법 위반 방조)로 기소돼 징역 1년~1년6개월에 집행유예 2~3년, 추징금 180만~7900여만원을 선고받은 김모씨 등 공동운영자 3명의 상고심(2013도5808)에서 추징금 부분에 대한 원심 판결을 파기하고 사건을 서울중앙지법으로 돌려보냈다. 대법원은 범죄수익 발생시점을 회원들이 파일을 다운로드 한 때가 아닌 업로드한 때를 기준으로 계산한 원심의 판단은 잘못이라고 지적했다. 재판부는 판결문에서 "범죄수익은 저작물을 회원들이 업로드하는 때에 생기는 것이 아니라 회원들이 다운로드 할 때 돈을 결제하면서 생긴다"며 "회원들이 다운로드한 시점의 수익에 관한 심리 없이 업로드된 시점을 기준으로 범죄수익을 계산해 추징금을 선고한 원심은 범죄수익의 발생 시점에 관한 법리를 오해했다"고 밝혔다. 김씨 등 4명은 2009년 9월부터 2011년 6월까지 웹하드를 운영하면서 저작권이 살아 있는 동영상 파일을 걸러내는 기술적 조치를 하지 않은 채 회원들이 파일들을 올리고 내려받을 수 있도록 방조해 수익을 챙긴 혐의를 받고 있다. 1심은 김씨 등의 혐의를 인정해 징역 8월~1년 6월에 집행유예 2~3년, 4900만~1억8000만원의 추징금을 선고했다. 그러나 항소심은 "A사이트 운영을 위해 법인을 설립한 2011년 2월 이후 얻은 수익은 1차적으로 법인에 귀속되기 때문에 이 이익이 법인에서 공동운영자들에게 이전됐다는 입증이 없는 한 김씨 등 공동운영자들로부터 범죄수익을 추징할 수 없다"며 김씨 등 3명의 추징금 액수를 많게는 1억원 가까이 삭감해 180여만원~7900여만원의 추징금만 선고했다.

회사가 개인정보 보호조치를 하지 않아 누구든지 이용자의 개인정보 등을 열람하거나 내려받을 수 있도록 했더라도 실제 개인정보 분실이나 도난, 누출 등이 이뤄지지 않았다면 처벌 할 수 없다는 판결이 나왔다. 현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제28조는 정보통신서비스 제공자 등이 개인정보를 취급할 때 개인정보 분실, 도난 등을 방지하기 위해 기술적·관리적 조치를 해야 한다'고 규정하고 있다. 이를 어기면 2년 이하의 징역 또는 1000만원 이하의 벌금을 받게 된다. 대전지법 형사8단독 차주희 판사는 지난달 18일 개인정보 누출 방지를 위한 조치를 하지 않은 혐의로 기소된 보험판매회사 개인정보 총괄 관리책임자 A(40)씨에게 무죄를 선고했다(2014고정1905). 차 판사는 판결문에서 "A씨가 개인정보 누출을 방지하기 위한 기술적·관리적 조치를 하지 않았더라도, 그로 인해 이용자의 개인정보가 분실·도난·누출·변조 또는 훼손되지 않은 이상 개인정보 보호조치를 하지 않았다는 이유로 처벌할 수 없다"고 밝혔다. A씨가 근무하는 회사는 지난해 3월 회사 홈페이지 '사원 게시판'에 회사를 통해 보험 계약을 한 135명의 이름과 연락처, 증권번호 등 개인정보가 기록된 문서파일을 올렸다. 그런데 이 게시판은 인터넷 검색 사이트를 통해 누구나 입장이 가능하고, 파일도 내려받을 수 있었다. 검찰은 "개인정보 누출을 방지하기 위한 조치를 하지 않았다"며 책임자인 A씨를 기소했다.

온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 해당 업체에게 개인정보 유출에 대한 책임을 지우기 어렵다는 대법원의 첫 판결이 나왔다. 대법원 민사1부(주심 고영한 대법관)는 간모씨 등 개인정보가 유출된 옥션 고객 2만2650명이 옥션을 운영하는 ㈜이베이(소송대리 김앤장 법률사무소)와 이 회사의 보안관리업체 인포섹(소송대리 법무법인 남산)을 상대로 낸 손해배상 청구소송 상고심(2013다43994)에서 원고패소 판결한 원심을 12일 확정했다. 재판부는 "옥션의 보안기술 수준과 보안조치를 보면 회원들의 개인정보를 안전하게 지키기 위해 필요한 보호조치를 모두 다 한 것으로 보이기 때문에 회원 개인정보 유출에 대한 손해배상 책임을 인정하기 어렵다"고 밝혔다. 이에 대해 "인터넷의 특성상 모든 사이트는 해커의 불법적인 침입에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 어렵다"고 설명했다. 옥션은 2008년 1월 중국인 해커로부터 회원 1800만명의 이름과 주민등록번호, 주소, 아이디, 계좌번호 등 개인정보를 모두 해킹당했다. 옥션 회원 14만6601명은 "1명당 20만원씩 배상하라"며 역대 최대 규모의 집단소송을 냈다. 1·2심은 "옥션은 해킹사고를 방지하기 위해 기술적인 보호 조치를 다 했다"며 원고패소 판결했고 고객 2만2650명만이 상고했다.