• Legaledu
  • 법률신문 법률정보

    연구논단

    싸이월드 개인정보 유출사건 판결의 인과관계 판단에 대하여

    이용재 변호사(강원회·산건 법률사무소)

    입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • 1. 들어가는 말
    2011년 7월 21일 에스케이커뮤니케이션즈 주식회사(이하 ‘에스케이’)는 중국 해커(이하 ‘이 사건 해커’)의 공격을 받아 싸이월드와 네이트의 약 3500만 명의 회원정보(이하 ‘이 사건 개인정보’)가 유출되었고(이하 ‘이 사건 해킹사고’), 개인정보 유출을 원인으로 여러 건의 소송이 제기되었다. (서울중앙지방법원 2012. 11. 23. 선고 2011가합90267 판결, 서울고등법원 2014. 1. 10. 선고 2012나104726 판결, 서울고등법원 2014. 2. 13. 선고 2012나104207 판결, 서울고등법원 2014. 2. 13. 선고 2013나2001042 판결, 서울중앙지방법원 2014. 4. 10. 선고 2012가단5062144 판결, 서울서부지방법원 2014. 4. 17. 선고 2013가합30752 판결, 서울중앙지방법원 2014. 10. 14. 선고 2013나54276 판결, 서울고등법원 2015. 3. 20. 선고 2013나20047, 20054, 20061, 20078 판결, 서울중앙지방법원 2015. 5. 28. 선고 2012가단5068715 판결, 수원지방법원 성남지원 2015. 7. 17. 선고 2012가합201256 판결 등)

    그런데 아래에서 살펴보는 바와 같이 재판부가 인과관계에 관하여 법리적으로 타당한 판단을 한 것인지 의문이 든다.
     
    2. 사건의 개요
    이 사건 해커는 2011년 7월경 이스트소프트의 알집 업데이트 서버를 공격하여, 에스케이 등 선별된 IP 주소에서 사용되는 컴퓨터가 알집 업데이트를 요청하는 경우 이스트소프트가 설정한 다운로드 경로가 아닌 이 사건 해커가 설정한 경로에서 악성프로그램을 대신 다운로드 받아 실행되도록 하였다. 그 결과 에스케이 직원이 공개용 알집을 설치한 회사 컴퓨터에 악성프로그램이 설치되었고, 이 사건 해커는 개인정보가 저장된 데이터베이스 서버관리자의 아이디와 비밀번호를 취득하였으며, 원격으로 접속한 에스케이 직원의 컴퓨터를 통해 데이터베이스 서버에 서버관리자의 계정으로 접속하여 이 사건 개인정보를 유출하였다. 
     
    3. 인과관계 판단
     
    많은 재판부는 ‘이 사건 해커가 실제 사용한 해킹기법으로 기업용 알집의 업데이트 과정에서 악성프로그램을 다운로드 받도록 공격하는 것이 가능할 것으로 보이므로, 에스케이가 기업용 알집을 사용하였더라도, 이 사건 해킹사고를 막을 수 없었을 가능성을 배제할 수 없고, 공개용 알집 사용행위와 손해발생 사이에 상당인과관계가 있다고 보기에 부족하다’고 판단하였다. 위 2011가합90267 판결, 위 2012나104207 판결, 위 2013가합30752 판결, 위 2013나2001042 판결, 위 2013나20047, 20054, 20061, 20078 판결, 위 2012가단5068715 판결 등 
     
    이 사건 해커가 실제로 행한 공격은 공개용 알집을 사용하는 컴퓨터만을 대상으로 하였고, 기업용 알집을 대상이 아니었음은 해당 소송의 이스트소프트에 대한 사실조회를 통해서나 일부 소송의 당사자였던 이스트소프트의 주장과 증거로 입증이 되었다. 따라서 기업용 알집을 사용했더라도 이 사건 해커가 기업용 알집을 공격하였으면 에스케이가 개인정보 유출을 막지 못하였을 것이라는 가정 아래 공개용 알집 사용과 개인정보 유출 사이에 상당인과관계가 없다는 판단은 실제로 행한 공격이 아니라 별도의 가정적인 공격을 이유로 인과관계를 부정하는 것이다. 재판부의 판단은 대체행위가 있었더라도 결과발생이 달라지지 않는다면, 주의의무 위반과 결과발생 사이의 결과적 귀속을 인정할 수 없다는 이론을 따른 것으로 보이는데, 한 가지 중요한 점을 간과하였다. 

    그것은, 대체행위를 이유로 결과적 귀속을 부정하는 것은 모든 상황이 동일하고 주의의무를 부담하는 자의 행위가 달라졌을 때에도 결과발생이 달라지지 않는다면 주의의무 부담자의 특정한 행위(통상 특정한 주의의무 위반이라는 사실)와 결과발생 사이의 인과관계를 부정하는 것이지, 주의의무 부담자 외에 제3자의 행위도 같이 달라질 경우를 가정하는 것이 아니라는 점이다.

    대체행위의 예시로 대표적으로 드는 교통사고로 비유한다면, 제3자가 운전하는 데 주의의무를 다하지 아니하거나 고의로 교통사고를 냈고, 운전자가 교통법규를 어겨서 추가적인 사고를 냈지만, 만약 교통법규를 지켰더라도 추가 사고를 피할 수 없었다면 운전자의 주의의무위반과 교통사고 사이에 인과관계가 없다는 것이 대체행위에 따라 결과적 귀속을 부정하는 이론이다. 위 사안에서 제3자가 실제 일어난 현실과 다른 주의의무를 위반하거나 별개의 고의로 교통사고가 일어났을 때를 가정하여, 그 경우에 운전자가 사고를 피할 수 있었는지를 기준으로 인과관계를 판단하지는 않는다. 특히 제3자가 실제 위반한 것과 다른 주의의무를 위반하는 과실범이 아니라 고의로 교통사고를 낸 사람이라면 실제 제3자가 일으킨 교통사고가 아니라 제3자가 다른 방식으로 교통사고를 냈을 때 운전자가 어떻게 대응할 것인지를 기준으로 인과관계를 판단하지 않는 것은 명백하다. 제3자가 일으킨 교통사고라는 객관적인 사실을 놓고, 운전자가 교통법규를 지켰으면 추가사고를 피할 수 있었느냐가 운전자에 대한 인과관계 판단의 대상이 되는 것이다. 

    고의범인 제3자의 일어나지 않은 별개의 고의를 가정하는 것이 문제가 되는 또 다른 이유는 그것은 인과관계 판단을 주의의무가 부여된 자가 아닌 제3자의 주관적 의사에 따라 결론을 달리하는 것이기 때문이다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2011. 4 .5. 법률 제10560호로 개정된 것, 이하 ‘법’)에 따라 주의의무가 부담하는 자는 에스케이이며, 이 사건 해커는 제3자에 불과하고, 정보통신망을 침해하여 개인정보를 유출하는 것은 제3자인 이 사건 해커의 별도의 고의범에 해당한다. 

    에스케이가 기업용 알집을 사용해서, 공개용 알집을 대상으로 한 이 사거 해커의 공격이 막혔을 때, 이 사건 해커가 다시 기업용 알집을 대상으로 공격을 할지 아니면 공개용 알집을 사용한 다른 사이트를 대상으로 공격을 할지는 해커의 내심의 의사에 달려 있는 것이다. 해커가 공격 후에 잡혀서 수사과정에서 실제 행한 공격이 막혔을 때 기업용 알집을 대상으로 다시 공격을 할 의사가 없었다고 진술하는 경우와 공격할 의사가 있었다고 진술하는 경우를 가정했을 때 재판부의 논리대로라면 전자는 인과관계가 인정되고, 후자는 인과관계가 부정되는 결론에 이르게 된다. 해커가 실제 잡혔을 때는 진술한 의사에 따라 인과관계 판단이 달라지고, 잡히지 않았을 때는 인과관계가 부정된다고 판단하는 것도 불법행위책임을 제3자에 대한 수사상황에 따라 결론을 달리하는 법적 안정성의 문제를 야기한다.

    이 사건 해킹사고에도 위 이론을 적용한다면, 에스케이가 기업용 알집을 사용하면, 이 사건 해커는 공개용 알집을 대상으로만 공격을 하였으므로, 이 사건 해킹사고가 일어나지 않았을 것이라고 판단할 수 있고, 실제 이스트소프트가 피고였던 소송에서는 이스트소프트는 위와 같은 이유로 기업용 알집을 사용하면 이 사건 해킹사고가 발생하지 않았을 것이라고 주장하였다. 위 2011가합90267 판결, 위 2012나104207 판결, 위 2013나2001042 판결, 위 2012가단5062144 판결, 위 2012나104726 판결 등

    당연히 인과관계가 인정된다. 주의의무를 부담하는 에스케이가 공개용 알집이 아닌 기업용 알집을 사용하는 것을 가정하면서 거기에 더하여 제3자인 이 사건 해커가 공개용 알집이 아닌 기업용 알집을 대상으로 공격하는 것을 가정하는 것은 단순히 주의의무 부담자가 주의의무를 준수한 경우를 가정한 것이 아니라, 제3자인 이 사건 해커의 별도의 고의범행까지 상정하여 인과관계를 부정하는 것으로, 이미 객관적으로 일어난 행위를 기초로 판단하지 않고, 주의의무 부담자가 아닌 제3자의 주관적인 의사를 가정하여 인과관계를 부정하는 것이다. 

    그럼에도 불구하고 많은 재판부는 기업용 알집을 사용하였더라도 이 사건 해커가 기업용 알집을 대상으로 공격했으면 에스케이가 개인정보 유출을 막지 못하였을 것이라는 가정으로 인과관계를 부인하였다.  
     
     
    4. 덧붙이는 말
    지면의 한계상 법이 정한 보호조치 위반에 대한 세부적인 쟁점에 관하여 모두 검토하지 못하였지만, 옥션 사건과 더불어 법이 정한 보호조치에 대한 중요한 기준이 될 수 있는 사건이었는데 불구하고, 위에서 살펴본 바와 같이 기술적인 내용에 사로잡혀 인과관계에 관한 법리를 간과한 것이 아닌지 의문이 든다.