정부, '2016년 북한 해킹' 민간기업 상대 50억원 손배소
법원 "사업 약정 위반해 해킹사고 발생…일부는 국방부 과실"
[파이낸셜뉴스]
법원 "사업 약정 위반해 해킹사고 발생…일부는 국방부 과실"
21일 법조계에 따르면 서울고법 민사33부(부장판사 구회근 박성윤 김유경)는 지난 16일 정부가 전산업체 A사와 백신업체 B사를 상대로 낸 손해배상 청구 항소심에서 "피고(A사)는 원고(정부)에 3억5000만원을 지급하라"고 판결했다.
A사는 2014년 국방부와 114억원 규모의 '국방통합정보관리소 정보시스템 사업' 구축 계약을 체결했으며, B사도 같은해 국방부에서 추진하는 '바이러스 방역체계 구축사업' 계약을 체결한 업체다.
국방부는 지난 2016년 7월 해커들이 유포한 악성코드로 인해 군사자료가 유출되는 해킹사고를 겪었는데, 자체 조사 결과 홈페이지가 보안에 취약했고 백신 업체는 해킹 사실을 사고 직후 알리지도 않았다고 판단했다.
이에 따라 정부는 해킹사고로 군사자료가 유출돼 군사기밀 작성·유지에 투입된 비용과 기밀 유출에 따른 복구비용 상당의 손해를 입었다며 두 곳을 상대로 50억원의 손해배상을 청구소송을 냈다.
정부는 2017년 7월 A사를 상대로 "국방망과 인터넷망이 서로 분리해 연결되도록 해야 함에도 이를 방치해 막대한 손해를 입었다"는 이유와 B사에 대해서도 "소속 직원 PC의 해킹 사실을 알지 못하다가 경찰청으로부터 해킹을 통보받은 이후에도 국방부에 알리지 않았다"며 "해킹에 사용된 IP가 북한으로 추정됨에도 이를 알리지 않고 IP차단 조치도 하지 않아 해킹사고가 발생했다"는 이유와 주장에 따른 조치였다.
△1심 법원은 해킹사고로 전체 국방망 복구 비용 상당의 손해가 발생했다고 인정하기 어렵고, 실제 복구작업이 이뤄졌음을 증명할 자료가 제출되지 않았다며 A사에 대한 정부의 손해배상 청구를 받아들이지 않았다.
1심 재판부는 "A사가 인터넷망과 국방망 분리를 약정했음에도 망혼용 상태를 유지해 해킹사고가 일어났다"면서도 "A사가 악성코드 감염에 관여했다거나 계약상 채무불이행이 있었다고 볼 증거가 없다"고 판시했다. B사에 대해서도 "정부가 제출한 증거들만으로는 해킹사고와 관련해 B사의 계약상 의무불이행이 있다고 인정하기에 부족하다"고 판단했다.
하지만 △2심 재판부는 A사가 망분리 약정을 위반해 망혼용 상태로 국방부에 사업을 넘겼고, 이에 따라 해킹사고가 발생했다며 손해배상 책임을 인정했다.
다만 국방부가 사업 구축 후 검수 과정에서 망혼용을 발견하지 못했고, 네트워크 보안 관리에 취약점이 있어 해킹이 발생한 것이므로 A사의 책임은 제한된다고 판단했다.
서버 복구와 추가 피해 예방을 위한 PC 포맷이 합리적인 절차에 따라 결정됐고 또 PC 포맷작업이 특별한 장비나 지식 없이 매뉴얼에 따라 실시할 수 있는 단순·반복 작업이므로 손해배상 규모도 크지 않다고 봤다.
이에 PC 포맷 비용 총액 36억여원 중 국방부의 손해액을 7억원으로 산정하고, 이 가운데 A사의 배상 책임 규모를 3억5000만원으로 산정했다.
재판부는 "국방부가 검수를 마친 후 1년 7개월간 망혼용을 탐지하지 못했다"며 "군 PC의 방화벽 보호정책이 설정돼 있지 않았고 비밀번호도 텍스트 형태로 저장돼 보안 관리에 취약점이 있었다"고 설명한 것으로 알려졌다..
wangjylee@fnnews.com 이종윤 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지