3천500만명. 2011년 발생한 네이트, 싸이월드 해킹사건에서 이 숫자가 주는 의미는 남다르다. 당시 통계청 기준 국내 인구 4천980만명 중 열에 일곱명 꼴로 정보가 유출된 것이다.
이러한 초대형 사건에 대해 법원은 1심 판결을 뒤집고, 항소심에서 해당 서비스를 관리해왔던 SK커뮤니케이션즈에 손해배상책임이 없다는 결론을 내렸다. 기술적, 관리적인 보호조치를 다했기 때문에 손해배상의무를 지지 않아도 된다는 것이다. 아직 대법원 상고가 남아있어 최종 판결이 났다고 보기는 힘들지만 현재로선 개인정보가 유출된 국민들 입장에서는 어떤 보상도 받지 못하게 될 가능성이 커졌다.
지난 20일 해당 사건에 대해 서울고등법원 민사12부(부장판사 김기정)는 SK컴즈가 정보통신망법이 정하는 기술적, 관리적 조치를 다했기 때문에 배상책임이 없다며 원고패소판결을 내렸다.
정보통신망법 제28조(개인정보의 보호조치)에 명시된 기술적, 관리적 조치는 개인정보보호 안전하게 취급하기 위한 계획 수립 및 시행, 침입차단시스템 등 접근 통제장치 설치 및 운영, 접속기록 위변조 방지 조치, 개인정보 암호화 조치, 백신 등 악성코드 감염 방지조치 등을 취하도록 명시하고 있다. 항소심은 피고인 SK컴즈가 이러한 기술적, 관리적 보호조치 의무를 다했기 때문에 피해자들에게는 보상을 할 필요가 없다고 판단한 것이다.
법원 판결에 대해 세세한 규정들이 사고에 대한 면책조항처럼 작용했다는 지적도 있다. 국내 개인정보보호 관련 법이 너무 세세하게 필요한 규정들을 정하고 있다보니 이것만 지키면 다른 조치는 안취해도 책임을 져야할 의무는 없다는 판단이 나올 수 있다는 것이다. 법무법인 테크앤로 구태언 대표변호사는 이번 판결에 대해 법이 정한 십계명을 지켰으면 의무 위반이 아니라는 것이나 다름없다고 지적했다.
차라리 법이 정보보안에 대한 기본원칙만 정하는 수준으로 머물렀었다면 더 다양한 법리다툼을 통해 개인정보유출시 해당 서비스 사용자들에 대한 피해를 어떻게 보상해야할 지에 대한 사회적인 합의점이 나왔을 것이라는 해석이다.
해당 재판에서 변호를 맡은 법무법인 민후 김경환 대표 변호사는 오히려 1심때보다도 훨씬 많은 과실을 찾아 입증했는데도 패소했다며 판결문을 받으면 바로 대법원에 상고할 것이라고 밝혔다. 김 변호사에 따르면 해외의 경우 재판까지 가지도 않고, 행정제재를 하는 선에서 사건이 마무리되지만 우리나라에서 그렇지 못한 실정이다.
관련기사
- SK컴즈, 해킹족쇄 풀고 '싸이메라'로 수익개선 나선다2015.03.23
- “네이트·싸이월드, 해킹 책임 없다”2015.03.23
- 7개 개인정보법 통합 추진…"중복·충돌 정리"2015.03.23
- 카드사 정보유출 사태 1년…달라지는 금융보안2015.03.23
미국의 경우 2013년 대형유통업체인 타깃이 관리하는 POS시스템이 해킹돼 고객 4천만명의 금융정보가 유출된 사건과 관련 최근 미네소타주 지방법원이 피해여부를 입증한 사용자에게 1인당 최대 1만달러를 보상하라는 판결을 내렸다. 타깃은 피해자들을 위해 1천만달러 규모의 피해보상용 펀드를 만들게 됐다.
타깃은 이와 관련 피해자들이 비인가된 신용카드, 체크카드 인출 피해를 입었다는 점, 이러한 피해를 원상복구하기 위해 자신의 시간을 썼다는 점, 신용카드 정보에 문제가 없는지 확인하기 위해 누군가를 고용해 돈을 지불했을 때, 계좌가 높은 이자율을 가졌거나 관련 요금을 내고 있을 때, 그들의 금융정보를 바꾸기 위해 비용이 들었을 경우 등 어느 하나라도 해당사항이 있으면 피해를 보상한다는 방침으로 피해자들과 합의를 봤다. 법원이 중재하기는 했지만 적어도 피해보상의 필요성을 인식해 사회적 합의를 통해 해결책이 나왔다는 점에서 우리나라와는 사뭇 다른 풍경이다.