네이트와 싸이월드 회원 3500만명의 개인정보가 해킹으로 유출된 사건과 관련해, SK커뮤니케이션즈(SK컴즈)는 정보통신망법에서 정한 조치를 다해 책임이 없다는 판결이 나왔다. 서울중앙지법 민사32부(재판장 서창원 부장판사)는 23일 감모씨 등 323명이 SK컴즈, 이스트소프트와 국가를 상대로 낸 손해배상소송(2011가합90267)에서 원고패소 판결을 내렸다. 이날 재판부는 피해자 2,847명이 같은 취지로 낸 5건의 사건에서 모두 원고 패소 판결했다. 재판부는 판결문에서 "SK컴즈는 해킹 사고 당시 정보통신망법 등 관련 법령이 정한 기술적·관리적 보호조치를 이행한 것으로 보인다"며 "해커가 사용한 해킹수법, 해킹 방지 기술의 한계 등을 종합적으로 고려하면 SK컴즈가 보호조치를 이행하지 않아 해킹 사고를 막지 못한 것으로 보기 어렵다"고 밝혔다. 감씨 등은 SK컴즈가 국내 공개용 알집 프로그램을 사용해 해킹이 가능하게 됐다고 주장했지만, 재판부는 "SK컴즈가 국내 기업용 알집 프로그램을 사용했어도 해커는 공개용 알집과 같은 방식으로 악성 프로그램을 다운로드 받도록 이스트소프트의 업데이트 웹사이트를 조작하는 것이 가능했을 것으로 보인다"며 인정하지 않았다. 알집 프로그램 제작사인 이스트소프트도 책임이 없다고 판단했다. 재판부는 "이스트소프트가 개인정보를 수집, 보관하는 주체에 해당하지 않는 이상, 감씨 등의 개인정보가 유출될 수 있다는 점을 예견할 수 없었던 것으로 보인다"고 설명했다. 지난해 7월 해킹으로 네이트와 싸이월드에서 3500만명의 개인정보 유출사고 발생했으며, 피해자들은 '네이트 해킹 피해자 카페' 등을 통해 소송을 집단적으로 제기했다. 감씨 등은 지난해 8월 '1인당 50만원씩 총 1억6000여만원을 배상하라'며 네이트와 싸이월드 운영사인 SK컴즈와 해킹에 악용된 소프트웨어를 만든 이스트소프트, 관리·감독 책임이 있는 국가 등을 상대로 소송을 냈다.

지난 7월 발생한 KT 고객 개인정보 유출사건의 피해자 2만4000명이 120억원 규모의 집단소송을 냈다. 27일 법조계에 따르면 이들은 최근 "KT의 과실로 정보가 유출돼 사생활 침해 등의 피해를 입었으니 1인당 50만원씩을 지급하라"며 KT를 상대로 손해배상청구소송(2012가합81628)을 서울중앙지법에 냈다. 원고들은 "KT는 고객정보 유출을 방지해야 할 의무가 있는데도 기술적 보호조치를 제대로 이행하지 않았다"며 "고객정보의 관리 소홀로 생긴 손해를 배상할 책임이 있다"고 주장했다. 이 소송을 대리하고 있는 법무법인 평강 관계자는 "현재 3000명 규모의 2차 소송인단을 모집을 완료했고 3차 소송인단을 모집하고 있다"며 "다음 달 중 추가 소송을 낼 계획"이라고 밝혔다. 평강은 소송비용으로 100원만 받고 소송에 참여할 피해자를 모았다. 이번 정보유출 사건의 피해자는 800만명이 넘는 것으로 추산된다. 일부 변호사들이 인터넷 포털사이트를 중심으로 피해자 모임을 개설해 소송인단을 모집하고 있어 앞으로 KT를 상대로 한 손해배상 소송규모는 더 커질 것으로 보인다.

지난달 28일 네이트와 싸이월드에 대한 해킹사실이 알려지면서 개인정보 유출 집단소송 커뮤니티가 급증하고 있다. 해킹 피해자가 3500만명에 이르기 때문에 소송에 대한 관심은 계속 높아지는 상황이다. 소송과 관련해 위자료와 재산상 손해배상 가운데 무엇을 청구할 것인지, 업체의 과실은 무엇을 기준으로 판단할 것인지, 주민번호 보유도 과실인지 하는 점 등이 쟁점이 될 것으로 보인다. 소송을 준비하는 측은 부실한 보안관리가 원인이므로 SK커뮤니케이션즈에 배상책임이 인정된다고 주장하고 있지만, SK커뮤니케이션즈가 해킹 방지가 현재의 기술력으로 불가능했다는 점을 입증할 경우 승소 가능성을 점치기 어려운 상황이다. ◇ 집단 소송 카페 봇물= 네이트와 싸이월드 정보유출 후 네이버와 다음 등 포털 사이트에는 한 달여 사이 20개가 넘는 네이트 개인정보 유출 집단소송 준비 카페가 개설됐다. 200~300명 내외의 소규모 카페도 있지만 일부는 이미 회원 수가 8만명을 넘는 것으로 알려졌다. 대부분의 까페가 1만~2만원의 소송비용을 공지하고 있는 것을 감안하면 모든 회원이 소송에 참여할 경우 해당 변호사는 산술적으로는 8억원의 수임료를 받을 수 있는 상황이다. ◇ "지급명령은 법적으로 의미 없어"= 개별적인 손해배상 청구소송은 이미 시작됐다. 지난달 29일 A모(40) 변호사가 "300만원을 지급하라"며 서울중앙지법에 첫 손해배상청구소송(2011가소1956930)을 제기한 바 있고, 서울중앙지법은 B모(25)씨가 지난 1일 SK컴즈를 상대로 낸 지급명령 신청에 대해 12일 100만원의 지급명령을 내린 바 있다. 이에 대해 서초동의 K변호사는 "지급명령은 신청자의 신청 내용 그대로 법원이 명령을 내리는 제도인데다 2주 안에 상대방이 이의를 제기하면 확정이 되지 않기 때문에 큰 의미는 없다"고 지적했다. SK컴즈는 지급 거부 의사를 밝혀 배상책임 유무는 본안소송에서 판가름 날 전망이다. ◇ 위자료·재산상 손해배상은=정보유출과 관련해 먼저 문제가 되는 것은 손해배상의 종류다. 만약 정신적 피해를 구하는 위자료를 청구할 경우 법원은 정액으로 150~200만원 정도로 인정할 가능성이 높지만, 재산상 손해의 경우 입증이 어렵다는 점에서 피해자측 소송대리인이 재산상 손해배상을 청구할 가능성은 낮아 보인다. ◇ '당대의 기술수준'으로 해킹 방어 가능한가= 다음으로 문제가 되는 것은 관리자로서 SK컴즈의 과실 성립 여부다. 형사사건과 달리 민사소송에서 과실여부는 무거운가 가벼운가를 따지지 않기 때문에 소송 진행과정에서 과실의 성립여부 자체를 놓고 다투게 될 전망이다. 이에 대해 IT 분야 전문가인 C변호사는 "정보유출이 해킹으로 인한 것이라고 가정한다면 관리자가 충분한 암호화 기술을 사용했는지, 서버의 방화벽이 제대로 구축돼 있는지가 쟁점이 된다"고 말했다. 암호화 기술이 충분하다면 유출된 개인정보가 안전할 것이고, 서버의 방화벽이 충분히 구축돼 있었다면 통상적 해킹기술로는 해킹이 불가능하기 때문이다. C변호사는 이어 "결국 당대 최고수준의 기술적·경제적 조치를 취했느냐가 쟁점이고, 피해자측은 충분한 보안조치가 없었다는 점을, 업체측은 더 이상의 보안방법은 없었다는 점을 입증하려 할 것"이라고 예상했다. ◇ 주민번호 보유도 과실인가= 업체가 필요하지 않은 개인정보를 보유하고 있었던 것은 아닌지 하는 점도 쟁점이다. 하지만 법령상 주민번호 보유가 금지된 것은 아니기 때문에 관리자의 과실로 평가되기는 어려울 전망이다. 법령에서 아이핀(i-PIN)의 사용을 권고하고 있기는 하지만 업체로서는 주민번호를 삭제할 의무가 있는 것은 아니다. 소송 진행과정에서는 SK컴즈 측은 앞으로의 보호방안 대책을 내세우며 이 문제를 피해갈 것으로 보인다. ◇ 소송 전망은= 개인정보 유출과 관련해서는 법원의 판결이 엇갈리고 있기 때문에 결과를 예측하기는 힘들다. 법원은 2008년 옥션의 개인정보 유출 사건에 대해 옥션의 피해배상 책임을 인정하지 않은 바 있다. 이러한 전례에 비춰보면 피해자들로서는 업체측의 과실을 통상적인 손해배상소송과 마찬가지 수준으로 입증하기 어려울 수도 있다. 이에 대해 C변호사는 "법원이 과실인정 요건을 완화하고 10만~20만원 정도의 소액의 손해배상액을 인정할 가능성도 있다"고 조심스럽게 예측했다.

애플사가 아이폰 사용자들의 위치정보를 수집해 데이터베이스에 저장한 데 대해 국내에서는 처음으로 법원의 지급명령을 받아 위자료 100만원을 지급했다는 소식이 전해지자 집단소송 가능성이 제기되는 등 관심을 모으고 있다. 하지만 법원은 본안판단을 통해 애플사가 불법을 저지른 것으로 본 것이 아닌만큼 앞으로 집단소송에서 승소할 것이라고 해석해서는 안된다고 우려를 표시했다. 창원지법은 법무법인'미래로'변호사 김형석(36·사법연수원 38기)씨가 "애플사가 아이폰에서 전송되는 위치정보를 수집해 사생활을 침해당했다"며 한국법인인 애플코리아를 상대로 낸 위자료지급청구 사건(2011차1202)에서 "애플코리아는 김씨에게 100만원을 지급하라"는 지급명령을 내렸다고 13일 밝혔다. 이는 법원의 지급명령에 대해 애플코리아 측이 전혀 대응을 하지 않았고, 법원은 2주간 이의제기를 하지 않으면 지급명령을 확정하도록 한 민사소송법상의 절차를 따른 것이다. 애플코리아 측은 지난 6월말 김씨에게 은행 수수료 2,000원을 제외한 99만8,000원을 송금했다. 이후 법무법인 미래로는 발빠르게 후속 소송 참가자 모집에 나섰다. 13일 오전 열어놓은 소송 참가자 모집 홈페이지(www.sueapple.co.kr)는 방문객이 폭주해 하루 동안 접속이 불가능했다. 현재 추산되는 국내 아이폰 사용자의 수는 300여만 명이다. 집단소송이 이어질 경우 배상액이 천문학적인 액수가 될 수도 있어 애플사가 이번처럼 별다른 대응없이 위자료를 내주지는 않을 것으로 보인다. ◇ 김 변호사,"애플사의 법 위반 명백"주장= 김 변호사는 기자와의 전화통화에서 "애플사는 헌법 제17조의 사생활 보호의무를 위반했을 뿐 아니라 정보수집에 대해 사용자의 동의를 받지 않았고, 수집한 정보를 암호화하지 않은 채로 데이터베이스에 저장하는 등 개인정보 유출 가능성에 대비하지 않아 위치정보의보호 및 이용 등에관한법률(위치정보보호법) 위반이 명백하다"며 향후 이어질 소송에 대한 자신감을 내비쳤다. 위치정보보호법 제15조는 '누구든지 개인의 동의없이 개인 또는 물건의 위치정보를 수집할 수 없다'라고 규정하고 있으며 제16조는 '위치정보를 사용하는 사업자는 정보누출을 막기 위해 기술적 조치를 취할 의무가 있다'고 규정하고 있다. ◇ 후속 소송에 영향은= 지난 4월에는 아이폰 사용자 29명이 서울중앙지법에 애플사의 위치정보수집으로 피해를 입었다며 손해배상청구소송(2011가합42145)을 제기해 현재 소송이 진행 중이다. 이 사건에서는 법무법인 세종이 애플측 대리인을 맡은 것으로 알려졌다. 그러나 이번 지급명령을 유사소송의 승소 가능성과 연결짓기는 어려워 보인다. 오히려 법원은 이번 사례가 애플사의 과실을 인정한 것처럼 여겨지는 분위기에 난감한 기색이다. 박진수 창원지법 공보판사는 "지급명령이 확정되면 판결과 같은 효력을 가지는 것은 맞지만, 기판력도 없는 위자료 지급명령 사례가 다른 소송에 결정적인 영향을 미칠 것으로 보기는 힘들다"고 밝혔다. 그는 "이번 사례는 민사소송법에 따라 애플사가 위자료 지급명령에 2주간 응하지 않아 확정된 것 뿐이지, 법원은 애플사의 불법사실에 대해 어떤 본안판단도 한 게 없다"고 잘라 말했다. ◇ 방송통신위원회 이르면 이달 말 위법성 결론= 최시중 방송통신위원장은 지난달 14일 국회 문화체육관광방송통신위원회에 출석해 "애플이 위치정보보호법 제15조를 위반했다고 생각한다"는 입장을 밝힌 바 있다. 방송통신위원회(방통위)는 정보수집과정에 어떤 문제가 있는 것인지를 명확히 하기 위해 미국 애플 본사에 조사단을 파견했으며, 이르면 이달 말 전체회의를 열어 위법성 여부를 판단할 것으로 알려졌다. 위치정보수집과 관련해 정부 주무부서인 방통위가 애플사의 정보수집에 대해 위법성 판단을 한다면 민사소송에도 직·간접적 영향이 있을 것으로 보인다.

SK브로드밴드(옛 하나로텔레콤) 고객정보유출 사건에서 항소심 재판부가 무죄를 선고한 1심 판단을 뒤집고 유죄를 인정해 벌금형을 선고했다. 서울중앙지법 형사1부(재판장 한정규 부장판사)는 27일 고객정보를 불법으로 이용한 혐의로 기소된 SK브로드밴드(주)와 이 회사 부사장이었던 최모씨에게 무죄를 선고한 원심을 파기하고 각각 벌금 1,500만원과 500만원을 선고했다(2010노2850). 재판부는 판결문에서 "피고인 회사가 가입신청서 또는 개통확인서에 포함된 안내문에서 '고객만족프로그램(서비스만족도 조사, 상품소개 등)' 등의 목적으로 개인정보를 수집 및 이용하겠다는 점을 기재해 가입 고객들로부터 이에 대한 동의를 받긴 했지만 이후 SC제일은행과의 업무제휴계약에 대한 법률자문결과 '제공한 개인정보를 신용카드 회원모집에 활용한다는 데에 대한 동의' 등의 추가로 필요하다는 것을 알게 되자 비로소 홈페이지를 통해 '하나포스멤버스카드 소개'등의 내용을 추가해 고지한 점, 멤버스카드에는 하나TV, 전화가입이나 요금 할인 등 고객 혜택에 관련된 내용이 포함돼 있지만 기본적으로는 신용카드에 해당해 당초 개인정보제공에 대한 동의 당시 고객들이 예상한 목적범위를 넘어서는 것으로 보이는 점 등을 고려할 때 피고인 회사가 고객들로부터 가입신청을 받을 당시 개인정보의 수집 및 이용 목적으로 고지하거나 정보통신서비스이용약관에 명시한 '고객만족프로그램'에 '하나포스멤버스카드 소개'가 당연히 포함되는 것으로 보기 어렵다"고 밝혔다. 재판부는 이어 "고객들의 개인정보를 멤버스카드 회원모집에 활용한 것은 정보통신망이용촉진및정보보호등에관한법률(정통망법) 제22조2항의 규정에 의한 고지의 범위 또는 정보통신서비스이용약관에 명시한 범위를 넘어 이용한 것에 해당한다"고 판단했다. SK브로드밴드는 자사 고객의 정보를 볼 수 있는 프로그램을 텔레마케팅업체에 설치해 줘 2006∼2007년 이모씨 등 고객 51만여명의 성명과 주민등록번호 등 개인정보를 유출한 혐의(정통망법상 개인정보누설 등)로 약식기소됐다가 정식재판에 회부됐다. 1심 재판부는 "피고인 회사가 홈페이지 등을 통해 텔레마케팅업체인 Y사를 정보활용대상으로 명기했으며 Y사가 하나포스SC멤버스 카드소개 등을 위탁받았지만 이는 단순한 신용카드가 아니라 멤버십카드의 성격을 지닌 점을 감안할 때 법에 정해진 범위를 넘어 개인정보를 이용한 것으로 볼 수 없다"며 지난해 7월 무죄를 선고했다(2009고단1864).

1,100만명이 넘는 사람들의 주민등록번호와 주소, 전화번호 등이 유출돼 사상 최대 규모의 개인정보유출사고로 기록됐던 'GS칼텍스 회원정보유출' 사건에서 법원이 GS칼텍스의 손을 들어줬다. 이번 판결은 관련정보가 시중에 유통되지 않은 만큼 실질적 피해는 없었다는 취지의 판결로 향후 상급심의 최종판단이 주목된다. 서울중앙지법 민사31부(재판장 황적화 부장판사)는 지난 16일 김모씨 등 2만8,000여명이 "'회원정보유출' 사건으로 피해를 봤다"며 GS칼텍스와 자회사 GS넥스테이션을 상대로 낸 손해배상 청구소송(2008가합88370 등)에서 원고패소 판결을 내렸다. 재판부는 판결문에서 "GS칼텍스 등에 책임을 지우려면 개인정보가 불특정 다수에게 공개돼 타인이 이를 열람하거나 수집·이용할 위험이 인정돼야 한다"며 "하지만 관련 정보들은 수사초기에 압수되거나 폐기돼 개인정보 자기결정권이 실질적으로 침해됐다고 인정하기 어렵다"고 밝혔다. 재판부는 이어 "피해자 입장에서는 정보가 유포될 수 있다는 불안감을 지닐 수 있겠지만, 수사기관이 자료를 즉시 압수하는 등의 조치를 한 사건 경위에 비춰볼 때 위자료를 지급할 만큼의 정신적 손해가 발생했다고는 볼 수 없다"고 덧붙였다. 지난 2008년7월 GS넥스테이션의 직원이던 정모씨는 집단소송을 의뢰받은 변호사 등에게 고객정보를 판매하기 위해 회사 서버에 몰래 접속해 보너스카드회원 1,151만7,125명의 성명과 주민등록번호, 주소, 전화번호, 이메일 주소 등을 내려받은 뒤 DVD에 복사해 몇몇 지인에게 건넸다. 정씨를 비롯해 유출에 관여한 5명은 해당 DVD의 판매가치를 높이기 위해 "쓰레기 더미에서 고객정보가 담긴 DVD를 주웠다"며 몇몇 언론사들과 접촉해 사회 이슈화를 시도했지만 경찰수사과정에서 들통났고 DVD는 압수되거나 폐기됐다. 정씨 등은 이후 정보통신망이용촉진 및 정보보호 등에 관한 법률 위반혐의로 기소돼 실형이나 집행유예가 확정됐다. 그러나 당시 정보가 유출된 김씨 등은 "GS칼텍스가 서버 내 개인정보를 이동저장장치에 내려받게 할 정도로 보안관리를 허술하게 해 피해를 봤다"며 1인당 100만원 안팎의 위자료를 청구하는 소송을 냈다.

인터넷 오픈마켓 옥션의 정보유출 손배소송에서 피해 회원들이 패소했다. 서울중앙지법 민사21부(재판장 임성근 부장판사)는 14일 옥션 회원 간모씨 등 14만6,601명이 "해킹으로 인한 개인정보유출로 피해를 입었다"며 (주)이베이옥션과 인포섹(주)를 상대로 낸 손해배상 청구소송(2008가합31411 등 13건)에서 "옥션이 취한 보안조치 내용을 볼 때 과실을 인정하기 어렵다"며 원고패소 판결을 내렸다. 재판부는 판결문에서 "정보통신서비스 제공자가 이용자의 개인정보를 해킹으로 도난당했을 때 손해배상책임을 지우기 위해서는, 정보통신서비스제공자가 해킹사고를 방지하기 위해 선량한 관리자로서 취해야 할 기술적·관리적 조치의무를 위반함으로써 해킹사고를 예방하지 못한 경우여야 한다"고 밝혔다. 재판부는 이어 "옥션과 옥션의 보안관리를 담당한 인포섹이 근본적으로 해킹을 막지 못한 아쉬움이 일부 있기는 하다"면서도 "해킹 사고 당시 옥션이 취하고 있던 각종 보안조치의 내용, 해킹방지기술의 발전상황 및 해킹의 수법 등 여러사정에 비춰보면, 옥션 등에게 민법상 불법행위에 해당하는 과실이 있다고 보기 어렵고, 구 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 등 관련법령에 위반된 사실도 없다"고 덧붙였다. 재판부는 또 옥션이 해킹을 막기위해 필수적인 웹방화벽을 설치하지 않았다는 원고측 주장에 대해서는 "웹방화벽은 시스템의 특성 등을 고려해 도입여부가 결정되는 선택적인 보안조치의 하나에 불과하고, 관련 법령상으로도 웹방화벽의 설치가 의무화돼 있지도 않다"며 받아들이지 않았다. 재판부는 다만 "판결과는 별도로 옥션의 경우 법적인 책임은 없다고 하더라도 기업의 도의적, 사회적 책임을 진다는 차원에서 개인정보가 유출된 회원들에 대한 특전의 부여 등 적절한 조치를 하는 것이 바람직하다"고 지적했다. 피고 이베이옥션의 대리인인 김앤장의 황정근 변호사는 "과거 발생한 기업의 고의 또는 과실로 인한 개인정보 유출사건은 있었으나, 이번 사건은 해킹의 피해자인 기업이 역시 같은 피해자인 회원들로부터 손해배상소송을 당한 첫 사례"라며 "재판부가 세운 기준은 앞으로 유사한 사건에서 선례로 작용할 것으로 보인다"라고 말했다. 2008년1월께 중국 해커들에 의해 옥션 사이트가 해킹돼 회원 약 1천만명의 주민등록번호를 포함한 개인정보가 유출되자, 피해자들은 수백∼수천 명 단위로 소송을 제기해 총 14만6천여명이 총 30여건의 손해배상소송을 냈다.

최근 사회적 논란을 일으킨 하나로텔레콤의 고객 600만명 개인정보 유출사건과 관련, 첫 집단소송이 제기됐다. 하나로텔레콤 고객으로 가입했다가 개인정보유출 피해를 당한 30명은 28일 “악의적인 정보유출로 인한 정신적 위자료로 각 피해자에게 100만원씩 총 3,000여만원을 지급하라”며 회사와 국가를 상대로 손해배상청구소송(2008가단151554)을 서울중앙지법에 냈다. 원고들은 소장에서 “정보통신서비스제공자는 이용자의 개인정보를 취급함에 있어 개인정보가 분실·도난·누출 또는 훼손되지 않도록 안전성 확보에 필요한 기술적·관리적 조치를 해야 한다”며 “하나로텔레콤은 개인정보가 누출되지 않도록 주의를 다했어야 함에도 불구하고 오히려 고객들의 개인정보에 해당하는 성명, 주민등록번호, 계좌번호 등을 회사 차원에서 영리를 목적으로 제3자에게 무단판매한 것은 위법한 것”이라고 주장했다. 원고들은 또 “국가의 정보통신부 소속공무원은 이번 사건과 관련해 하나로텔레콤에 대한 관리감독을 소홀히 했을 뿐만 아니라 심지어는 이번 사태 이후 도움을 주려 했다”며 “국가가 개인정보를 관리하는 업체를 철저히 감독해 법을 준수하게끔 했어야 함에도 오히려 이번 사건을 방조했다”고 주장했다. 원고들은 이어 “유사한 다른 사건들의 경우 회사직원들의 과실에 의해 피해가 발생한 반면, 이번 사건은 하나로텔레콤이 고의적 조직적으로 관련됐다”며 “고객의 정보를 돈을 받고 판매해 형사입건까지 되는 등 다른 사건들에 비해 불법성이 현저히 높은 만큼 위자료 액수도 보다 높게 산정해야 한다”고 주장했다. 원고들은 경찰수사결과 하나로텔레콤이 2006년 1월부터 2년간 가입자 600만명의 성명·주민번호·주소·전화번호 등 개인정보를 전국 1,000여개 텔레마케팅 업체에 제공했다는 혐의가 드러나자 손해배상 소송을 냈다.