오픈마켓 옥션이 7년 만에 1800만명 회원정보 유출 사고의 책임에서 벗어났다.
대법원은 12일 지난 2008년 중국인 해커의 공격으로 1800만명에 달하는 고객들의 개인정보가 유출된 옥션에 대해 배상 책임이 없다고 확정 판결했다.
이번 판결은 해킹으로 인해 고객의 개인정보가 유출됐지만, 불가항력적 외부침입을 막기 어려운 특수성을 인정해 업체측에 배상책임을 묻지 않은 대법원의 첫 판단이다.
대법원 1부는 이날 간모씨 등 옥션 고객 2만2651명이 "개인정보 유출로 피해를 봤다"며 옥션 운영사인 이베이옥션과 보안관리업체 인포섹을 상대로 낸 손해배상 청구소송 상고심에서 원고 패소 판결한 원심을 확정했다. 강모씨 등 1만566명이 제기한 다른 3건의 소송에 대해서도 옥션의 배상 책임이 인정되지 않았다.
고객들은 정보통신 서비스 제공자인 옥션이 자신들의 개인정보가 도난·누출되지 않도록 필요한 기술적·관리적 조치를 게을리 했다고 주장했지만 받아들여지지 않았다. 대법원은 해커의 공격을 불가항력적인 외부 침입이라고 본 원심의 판단을 정당한 것으로 인정했다.
대법원은 "옥션 해킹의 경우 그 수법이나 당시 보안기술 수준, 옥션이 취했던 보안조치의 내용과 수준 등을 고려하면 옥션이 '기술적·관리적 조치를 취해야 할 의무'나 '개인정보의 안전성을 확보하기 위해 필요한 보호조치를 해야 할 의무'를 위반했다고 보기 어렵다"고 판단했다.
대법원은 "해커 등은 여러 공격 기법으로 보안 조치를 우회하거나 무력화하는 방법으로 침입하고, 해커의 침입을 막기 위한 보안기술은 해커의 새로운 공격 방법에 대한 사후적 대응으로 이뤄진다"며 "이와 같은 특수한 사정을 고려했다"고 설명했다.
옥션은 지난 2008년 1월 중국인 해커로부터 1800만명에 달하는 회원들의 이름·주민등록번호·주소·전화번호·아이디·계좌번호 등 개인정보를 해킹 당했다. 이에 옥션 고객 14만6601명은 이베이옥션 등을 상대로 역대 최대 규모의 집단소송을 냈다.
1·2심은 "해킹 사고 당시 근본적으로 이 사건 해킹을 막지 못한 아쉬움이 일부 있지만 당시 옥션이 취하고 있던 각종 보안조치, 해킹 방지 기술의 발전 상황 및 해킹 수법 등에 비춰 옥션에 과실이 있다고 보기 어렵다"며 원고 패소 판결했다.
피해자들은 옥션이 방화벽을 설치하거나 주민번호를 암호화하지 않았고 악성코드 설치 사실을 알고도 조치를 하지 않아 배상 책임이 있다고 주장했으나 당시 법령상 위법이 아니라는 이유로 옥션의 손을 들어줬다.
7년 만에 사상 최대 개인정보유출 손배소송에서 이긴 옥션은 이날 공식 입장을 내놓지 않았다.
권오용 기자 bandy@joongang.co.kr