대법원이 12일 '옥션 해킹 사건'에 대해 "옥션 측에 민법상 책임을 물을 수 없다"고 확정 판결한 것은 '해킹'이라는 불가항력적인 측면을 인정했기 때문이다. 충분한 수준의 보안조치를 취했다면 해킹 등으로 인한 외부 침입에 대해선 업체의 책임을 물을 수 없다는 것이다.
이에 따라 현재 대법원에 계류중인 '2011년 네이트·싸이월드 해킹 사건' 등 5건의 유사소송들도 이번 판결의 영향을 받을 것으로 예상된다.
◇"옥션 보안조치, 충분한 수준…불가항력적 외부 침입의 특수성 인정"
대법원은 이날 판결문에서 "정보통신서비스는 '개방성'을 특징으로 하는 인터넷을 통해 이뤄지고, 서비스 제공자가 구축한 네트워크나 시스템 및 그 운영체제 등은 불가피한 취약점을 갖고 있다"며 "이로 인해 해커의 불법적인 침입에 노출될 수 밖에 없고, 완벽한 보안을 갖춘다는 것도 기술 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 쉽지 않아 보인다"고 밝혔다.
그러면서 "해커 등은 여러 공격기법을 통해 보안조치를 우회하거나 무력화하는 방법으로 침입하고, 해커의 침입을 막기 위한 보안기술은 해커의 새로운 공격방법에 대한 사후적 대응으로 이뤄진다"며 "이와 같은 특수한 사정을 고려했다"고 판결 이유를 설명했다.
또 대법원은 옥션의 보안조치에 다소 미흡한 측면이 있었다고 보면서도, "주의의무 위반에 대한 책임을 물을 수 있을 정도로 보기는 어렵다"고 판단했다.
대법원은 그 근거로 옥션이 ▲'정보보호정책 및 관리지침' ▲네트워크에 대한 침입 탐지·방지시스템 ▲복수의 백신 소프트웨어 ▲외부접속이 필요한 서버에 대한 인증 및 인가절차 ▲각종 접근제어 방법 등을 마련해 운영해 왔다는 점을 들었다.
옥션이 외부접속 서버에 웹 방화벽을 설치하지 않은 점에 대해서도 "옥션이 웹 방화벽을 설치하지 않은 것은 맞지만 이는 의무사항이 아니라 선택적 보안조치에 불과하다"면서 "당시 법령상으로도 웹 방화벽 설치는 의무 사항이 아니었다"며 옥션의 손을 들어줬다.
그러면서 "해커는 탐지가 어려운 변종 악성코드의 업로드 및 실행·방화벽 우회·패스워드 크래킹(공격대상의 아이디(ID)를 알고 있다는 전제 하에 비밀번호를 알아내는 공격 기법) 등 여러 고급 해킹 기법을 사용해 서버에 침입, 개인정보를 빼돌린 것으로 추정된다"며 "당시 보안기술 수준, 옥션의 전체적인 보안조치의 내용과 수준 등을 고려하면 옥션이 해킹을 근본적으로 방지하기는 어려웠던 것으로 보인다"고 설명했다.
대법원 관계자는 "제3자의 해킹으로 서비스 제공자가 보유하고 있던 개인정보가 유출된 사건과 관련, 서비스 제공자가 이용자의 개인정보가 도난·누출되지 않도록 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했는지를 판단하는 기준을 처음으로 제시한 판결"이라고 전했다.
◇'네이트·싸이월드 해킹 사건' 등 유사소송 영향
'옥션 해킹 사건' 발생 7년 만에 대법원의 첫 판결이 나오면서 또 다른 해킹 사건들의 결론 또한 주목받고 있다.
'옥션 해킹 사건'의 경우처럼 정보통신 서비스 제공자의 보안조치 등 기술·관리적 보호조치가 충분했는지, 그 과정에서 업체의 과실은 없었는지, 이에 따라 해킹의 불가항력적인 측면을 인정할 수 있는지 등이 주요 쟁점이다.
이와 관련해 현재 대법원에 계류 중인 사건은 '2011년 네이트·싸이월드 해킹 사건'과 관련된 것들로, 총 5건의 손해배상 청구소송이 최종 판단을 앞두고 있다.
'네이트·싸이월드 해킹 사건'은 2011년 7월26일 SK컴즈의 네이트 및 싸이월드가 중국에 거주하는 것으로 추정되는 해커의 공격을 받아 회원 3500만명의 아이디와 이메일, 실명과 주민등록번호, 휴대전화번호 등이 포함된 개인정보가 유출된 사건이다.
이후 일부 피해자들이 소송을 냈지만 지난해 말까지 서울중앙지법 등에 제기된 사건은 대부분 원고 패소 판결을 받았다. 법원은 SK컴즈가 취한 기술적·관리적 보호조치 및 보안조치의 수준과 해킹의 수법·방지 기술의 한계 등을 종합적으로 고려해볼 때 회사의 입장에서도 해킹 사고를 막기 어려웠다고 판단했다.
반면 2013년 2월 서울서부지법은 "해킹이 진행되는 동안 보안팀이 전혀 눈치 채지 못한데다, 내부 직원이 전산망에 접속한 뒤 로그아웃하지 않고 퇴근하는 등 보안 책임을 소홀히 한 점이 인정된다"며 "SK컴즈는 회원 2882명 1인당 위자료 20만원씩 배상하라"고 판결한 바 있다.
2012년 전산시스템 해킹으로 870만건의 고객정보가 유출된 KT에 대한 배상 책임이 인정되기도 했다. 지난해 8월 서울중앙지법 민사32부(부장판사 이인규)는 KT 전산시스템 해킹으로 인한 정보유출 피해자 2만8715명이 KT를 상대로 낸 손해배상 청구소송에서 "원고들에게 각 10만원씩 배상하라"며 원고 일부 승소 판결했다.
당시 재판부는 "KT가 무선 전산영업시스템 사용자 계정 관리를 소홀히 한 것이 해킹 사건의 발단"이라며 "KT는 시스템 베이스베이스에 주민등록번호 등 중요한 정보를 암호화하지 않고 저장하는 등 정보통신업자로서 필요한 주의의무를 다하지 못했다"고 지적했다.
SK컴즈를 상대로 낸 소송에서 처음으로 피해자들의 승소 판결을 이끌어냈던 김경환(46·사법연수원 36기) 법무법인 민후 대표변호사는 "해킹 관련 손해배상 소송의 쟁점은 서비스 제공자의 과실 여부"라며 "옥션 해킹 사건은 2008년에 발생했던 일로 당시 업계 관행과 기술수준 등에 비춰볼 때 책임을 물을 수 없다는 것"이라고 말했다.
그러면서 "이후 발생한 네이트·싸이월드 해킹 사건이나 KT 개인정보 유출 사건 등에 대해서는 법원이 회사의 책임을 인정하는 추세"라며 "이번 판결이 해킹 소송과 관련한 대법원의 첫 판단이라고 해도 사건 당시 상황과 내용 등이 다른 만큼 향후 서비스 제공자에게 책임을 묻는 판단도 나올 수 있다"고 덧붙였다.
(뉴시스)