네이트·싸이월드 개인정보 유출.. 대법 "SK컴즈 배상책임 없다"

지난 2011년 네이트와 싸이월드 회원 3500만명의 개인정보가 해킹으로 유출된 사건과 관련해 피해자들이 SK커뮤니케이션즈(SK컴즈)를 상대로 손해배상 소송을 냈으나 패소가 확정됐다. 해커 침입으로 개인정보가 유출되기 전까지 회사가 법령에서 정한 기술적인 보호 조치를 다했다면 배상책임을 물을 수 없다는 취지의 판결이다.

대법원 1부(주심 이기택 대법관)는 해킹피해자 583명이 SK컴즈를 상대로 낸 손해배상 청구소송 상고심에서 원고 패소 판결한 원심을 확정했다고 28일 밝혔다.

재판부는 "해킹사고 당시 정보통신서비스 제공자인 피고(SK컴즈)는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 방송통신위원회가 마련한 '개인정보의 기술적.관리적 보호조치 기준' 등 관련 법령에 따라 침입차단시스템과 침입탐지시스템을 설치.운영하고 있었다"고 판단했다.

이어 "피고가 해킹사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하지 않았다고 볼 수 없다"며 "따라서 피고가 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 보기는 어렵다"고 판시했다.

이번 사건은 2011년 7월 중국 해커가 SK컴즈 사내망 컴퓨터에 악성코드를 설치, 좀비 PC들을 이용해 네이트.싸이월드 데이터베이스에 접속한 뒤 3500만명에 달하는 회원들의 개인신상정보를 빼낸 사건이다.

이후 해킹 피해자들은 전국 법원에 잇따라 소송을 냈다.

1심에서는 원고 대부분이 패소했으나 김모씨 등 538명이 낸 소송에서는 "3500만여건의 개인정보가 여러 단계를 거쳐 외부로 유출됐는데도 탐지 시스템이 전혀 감지하지 못했고 담당 직원이 로그아웃하지 않은채 새벽까지 컴퓨터를 켜둬 해커가 쉽게 서버에 접근할 수 있도록 하는 등 개인정보 보호 업무를 수행하는 데 잘못이 있다"며 SK컴즈가 원고 1인당 각각 위자료 20만원을 지급하라고 판결하기도 했다.

사건은 항소심에서 다시 뒤집혔다.

2심 재판부는 "정보통신서비스 제공자는 법령이 정한 바에 따라 준수해야 할 기술적 조치들을 이행해야 하는데 이런 조치를 다 했다면 특별한 사정이 없는 한 법률상.계약상 의무를 위반했다 보기 어렵다는 것이 그간의 판례"라며 SK컴즈의 손을 들어줬다.

이 사건을 비롯해 다른 유사소송 하급심도 이런 이유와 원고 측의 손해 입증 부족 등을 이유로 SK컴즈의 배상책임을 인정하지 않았다.

대법원도 SK컴즈가 개인정보의 안전성 확보에 필요한 기술적, 관리적 조치를 다했다며 책임을 묻기 어렵다고 봤다.

mountjo@fnnews.com 조상희 기자