지난 15일 서울서부지법 배호근 부장판사는 SK컴즈가 2011년 7월에 일어난 네이트·싸이월드 3,500만명 개인정보 유출 사건에 대해 해킹 사건의 책임이 회사측에 있다는 판결을 낸바 있다. SK컴즈가 정보통신망법상 개인정보보호 의무를 위반한 점을 인정한 것이다.
 
서울서부지법 민사12부 배호근 부장판사는 판결문에서 세가지 근거를 들면서 SK컴즈에 과실이 있다는 것을 지적했다. 회사의 침입탐지시스템이 이상 징후를 탐지하지 못했고, 관리자가 업무 이후 컴퓨터에서 로그아웃하지 않아 해커가 쉽게 서버에 접근할 수 있게 했다는 점. 그리고 보안이 취약한 공개용 알집 프로그램을 사용한 점을 지적한 것이다.
 
재판부는 네이트 해킹사고로 개인정보가 유출된 2,882명이 SK컴즈와 이스트소프트 등을 상대로 낸 손해배상소송에서 SK컴즈에 1인당 20만원씩 지급하라며 원고 일부승소 판결했다.
 
이에 같은 사건 혹은 유사 사건의 집단소송이 잇따를 조짐이 일고 있다. 모 법무법인에서 개설한 ‘네이트 해킹 피해자 카페’에는 지난 17일 “SK컴즈 집단소송 참여자를 추가 모집한다”며 “현재 진행 중인 소송은 승소판결의 연장선에 있다. 특별한 변동사항이 없는 이상 같은 재판 결과를 보게 될 것”이라고 소송참여를 독려하고 있는 상황이다.
 
하지만 과연 상급심에서도 같은 결과가 나올 수 있을까. 법률사무소 테크앤로 구태언 변호사는 다음과 같은 논리로 이번 판결이 상급심에서는 받아들여지지 않을 것이라고 밝혔다.
 
구태언 변호사는 “기본적으로 이번 판결이 상급심에서는 받아들여지지 않을 것이라고 본다”며 “SK컴즈의 주요 과실로 본 것 중 개인정보의 외부 유출을 탐지하지 못했다는 점. 이는 유출되면 과실이 있다는 것이라는 논리에 다름 아니다. DB방화벽의 도입은 법적 의무가 아니다. DB서버에 접근하는 정당한 권한을 가진 어플리케이션은 많다. 결국 법원의 논리는 DB서버에 내려지는 명령을 모니터링할 의무를 부여하는 것인데 모니터링을 하더라도 임계치 이하로 명령을 내릴 경우에 정상 명령과 해커의 명령을 구분하기 어려우므로 해커가 쉽게 우회할 수 있어 결국 결과책임(해킹을 당하면 주의의무 위반)이라는 결론이 된다”고 밝혔다.
 
또 “이러한 결론은 수 많은 Start-up들에게 오히려 치명적인 법규제로 부담을 준다. 우리나라가 세계적인 인터넷 서비스 기업이 나오지 않는 것이 지나친 개인정보보호 관련 법규제가 주는 비용부담이 한 원인인데 법원이 '민사적 불법행위 책임'의 하나로 DB서버의 트래픽 모니터링 의무를 추가로 부과해 기업들에게 부담을 더했다. 그러나 이 부담은 실제로 지켜지기 어렵다”고 말했다.  
 
그는 다음으로 “개인용 알집을 사용하여 '광고를 다운로드 받게 됨으로써' 악성코드가 다운로드 되었다는 과실은 법규에 없는 주의의무를 법원이 부여한 것”이라며 “이는 알집이 해킹되어 업데이트 서버가 해커에게 장악된 것이 잘못인데 그 백신을 사용한 회사에게 책임을 지우는 것으로 개인정보 유출과 법적인 인과관계가 없는 사안을 무리하게 책임을 확장했다고 본다”고 밝혔다.
 
더불어 구 변호사는 “보안관리자가 업무를 마친 후 로그아웃을 하지 않아 해킹되었다는 점을 과실로 꼽았는데 엄격한 보안조치가 구축된 기업 내부망에서 업무를 하는 보안관리자가 자신의 컴퓨터에 다른 사람이 물리적으로 접근할 가능성이 없는 상태에서 로그아웃을 하지 않은 것이 과실이라는 점은 지나친 논리”라며 “그렇다면 법원의 판결조회시스템에 자신의 업무용 PC로 로그인하여 업무를 보다가 로그아웃을 하지 않은 채 퇴근한 판사는 역시 불법행위를 하는 것이라는 이야기가 된다. 판결조회시스템은 개인정보처리시스템이기 때문이다. 법원의 내부망은 정보보호조치가 이루어져 있으므로 그 안에서 업무처리를 할 때 로그아웃을 하든 하지 않든 그것이 해커의 공격을 유발하는 행위가 될 수는 없다”고 설명했다.
 
마지막으로 그는 “무엇보다 위와 같은 행위들을 민사적 불법, 과실행위로 본다면 대한민국의 모든 개인정보처리자(사실상 모든 공사단체)의 주의의무가 지나치게 높아져서 개인정보가 유출되면 바로 책임이 있다는 결론에 이르게 된다”며 “개인정보의 수집 및 이용으로 인한 위험부담이 급증해 결국 원활한 경제활동에 지장을 초래하게 된다”고 말했다.
 
또 “다른 유사 사건들은 개인정보의 외부 유출을 탐지하지 못했다는 점을 제외하고는 SK컴즈 건과 해킹에 이른 사실관계가 달라 이번 판결이 다른 유사 판결에 참고가 되기도 어려울 것”이라고 덧붙였다.
 
일부에서는 이번 승소 판결이 다른 개인정보유출 소송에 영향을 미칠 것이라고 주장하고 있고 반면에 그렇지 않을 것이라는 의견도 크다. 여하튼 SK컴즈는 이번 판결로 집단소송이 확대되지 않을까 노심초사 하고 있다. 과연 이번 판결이 유사 사건에 어떤 영향을 미칠지 그리고 다음 상급심 판결이 어떻게 나올지 귀추가 주목된다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com