지난 2016년 발생한 국방망 해킹 사건을 두고 국방부가 당시 백신 구축 사업자인 하우리를 상대로 제기한 손해배상 소송에서 하우리가 승소했다.
27일 서울중앙지방법원 민사16부는 국방부가 하우리와 전산망 구축 사업자였던 LG CNS를 대상으로 제기한 손해배상 소송에 대해 원고 청구를 기각한다고 판결했다.
이번 소송전은 2016년 9월 발생한 국방망 해킹 사건에서 기인했다. 사건이 발생하자 국방부는 5개월간의 수사를 거친 뒤 백신 사업자인 하우리가 해킹 발생을 초래했다고 판단했다.
반면 하우리는 국방망 해킹의 원인이 국방부의 보안 체계 관리가 소홀해 해킹이 발생한 것이라고 반박해왔다.
이후 약 3년간의 소송전 끝에 1심 판결에서 해킹에 대한 법적 책임을 벗을 수 있게 됐다.
판단 쟁점은 크게 세 가지다.
국방부는 먼저 전산망을 구축한 LG CNS가 망분리 시스템을 제대로 구축하지 않아 내·외부망이 혼용됐고 이로인해 해킹이 유발됐다고 주장하며 손해배상을 요구했다. 내부망의 경우 폐쇄망으로 운영돼 외부 네트워크와 연결되지 않게 운영되는 게 원칙이다.
이에 대해 LG CNS는 국방부의 검수를 거쳐 해당 시스템을 2015년 구축했고, 검수를 거친 국방부가 사업 완료를 발표한 1년 뒤에 발생한 해킹에 대해 책임을 지라는 것은 타당치 않다고 반박했다.
하우리의 경우 백신 솔루션이 악성코드 유포 수단으로 악용된 것에 대해 책임을 져야 한다는 게 국방부의 주장이었다.
사건 당시 국방부 내부망에 접근한 해커가 악성코드를 유포했고, 시스템 제어 권한을 획득해 백신 서버도 탈취한 뒤 주기적으로 전체 시스템에 배포되는 백신 업데이트 파일을 변조시켜 악성코드 감염이 확산됐다는 것.
백신 업데이트 파일이 타 시스템으로 유포되는 과정에서는 프라이빗 키를 통한 전자서명을 요구한다. 국방부는 이 프라이빗 키가 2015년 하우리가 당한 해킹으로 유출됐고, 이후 국방망 해킹 사건에 악용됐다고 주장했다.
그러나 하우리는 유출된 프라이빗 키는 2013년 만든 사업 제안서에 포함된 키였고, 해당 사건과는 무관한 것이라고 주장했다.
법원은 국방부의 이런 주장에 대해 타당치 않다는 판단 하에 이번 판결을 내렸다.
김희천 하우리 대표는 이번 소송 결과에 대해 "해킹 사건을 두고 정확한 판단을 내린 재판부에 감사드린다"며 "국방부가 하우리를 희생양으로 삼고 소송을 이용해 자체 과실과 책임을 회피하려는 것에 대해 억울한 감정을 가져왔다"고 말했다.
판결 결과에 따라 이번 소송 비용은 원고인 국방부가 전부 부담한다. 하우리는 소송 비용의 구체적 액수는 밝히지 않았다.