“2011년 개인정보 유출 해킹사건, 이동통신사 배상 책임 없다”

3500만명 개인정보 유출 ‘네이트·싸이월드 해킹사건’
대법 “법령 기준 지키고, 기대 가능한 보호조처 했다”
‘위자료 줄 책임 없다’며 회사 손들어준 판결 잇따라

2011년 7월 말 3500만건의 개인정보가 유출된 '네이트·싸이월드 해킹사건'이 터진 뒤 주형철 당시 에스케이커뮤니케이션즈 대표(맨왼쪽) 등 임직원들이 서울 서대문구 미근동 본사에서 기자회견에 앞서 머리 숙여 사과하고 있다. 김봉규 기자 bong9@ahni.co.kr

3500만건의 개인정보가 유출된 2011년 '네이트·싸이월드 해킹사건'에 대해 대법원이 회사 쪽의 손해배상 책임이 없다고 거듭 확인했다.

대법원 1부(주심 박정화 대법관)는 개인정보 유출 피해자인 유아무개(53·변호사)씨가 에스케이커뮤니케이션즈를 상대로 낸 손해배상청구 소송에서 원고에게 100만원의 위자료를 지급하라고 선고한 원심판결을 깨고 원고패소 취지로 사건을 대구지법 합의부로 돌려보냈다고 12일 밝혔다.

앞서 대법원은 지난 1월 네이트·싸이월드 개인정보 유출 피해자 31명과 또 다른 피해자 18명이 에스케이커뮤니케이션즈를 상대로 각각 낸 손해배상청구 소송 상고심에서 회사 쪽의 손해배상 책임이 없다며 원고패소의 원심판결을 확정한 바 있다.

재판부는 “‘개방성’을 특징으로 하는 인터넷을 통해 이뤄지는 시스템이나 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 해킹 등에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 않다”고 전제한 뒤, “해킹사고 당시 에스케이커뮤니케이션즈가 운영하던 침입탐지시스템과 자료유출방지시스템이 개인정보 유출을 탐지하지 못했고, 보안에 취약한 파일전송 프로토콜 프로그램을 설치했고, 보안 강도가 낮은 개인정보 암호화 방식을 사용했다고 하더라도 그런 사정들만으로는 회사가 사회 통념상 합리적으로 기대 가능한 정도의 보호조처를 다 하지 않았다고 볼 수 없다”며 손해배상 책임을 인정하지 않았다.

재판부는 “에스케이커뮤니케이션즈가 사용한 국내 공개용 알집 프로그램이 보안에 취약한 프로그램이라고 해도 알집 업데이트 사이트가 변조되어 해킹수단으로 이용될 것까지 예견할 수는 없었을 것이고, 그런 프로그램을 사용하고 있었는지와 관계없이 업데이트 과정에서 악성 해킹 프로그램이 실행되었을 가능성을 배제하기도 어렵다”며 회사 쪽 잘못과 해킹 피해 사이의 상당인과관계를 인정하지 않았다. 재판부는 또 “어떤 암호화 방식을 사용하더라도 해킹사고로 유출된 암호화된 개인정보가 원래 자료대로 노출될 가능성이 크다”고 덧붙였다.

중국에 거주하는 것으로 추정되는 해커는 지난 2011년 7월26일부터 27일까지 싸이월드와 네이트 등을 운영하는 에스케이커뮤니케이션즈 서버에 침입해, 역대 최대 규모인 3495만여건의 회원 개인정보를 유출했다.

피해자들이 잇따라 낸 소송에서 상당수 1·2심 재판부는 "에스케이커뮤니케이션즈가 개인정보 유출 방지에 관한 보호조처를 이행하지 않아 해킹사고를 막지 못한 것으로 보기는 어렵다"며 원고패소로 판결했다. 일부 하급심에서 “에스케이커뮤니케이션즈가 침입탐지시스템 수준을 지나치게 완화했다”거나 “보안이 취약한 프로그램을 사용했다”는 점 등을 들어 1인당 20만원 안팎의 위자료를 지급하라고 판결했으나, 대부분 상급심에서 뒤집혔다.

여현호 선임기자 yeopo@hani.co.kr