국방부가 지난 2016년 발생한 국방망 해킹 사건과 관련해 보안업체 하우리를 상대로 제기한 손해배상 소송 항소심에서 패소했다. 향후 하우리가 조달청을 상대로 제기한 부정당업자제재취소 소송 2심에 이번 판결이 반영될지 주목된다.
서울고등법원은 지난 16일 국방부가 국방 전산망 해킹사건과 관련해 하우리와 LG CNS를 상대로 낸 50억 손해배상 소송 항소심에서 일부 승소 판결을 내렸다. 국방부는 피고 하우리에 대한 소송에서는 패소했으며, 피고 LG CNS에 대한 소송에서는 일부 승소했다.
재판부는 국방부 해킹사고가 하우리의 관리 부실로 인해 발생했다는 국방부의 주장은 받아들이지 않았으며, LG CNS에게는 일부 책임이 있다고 판단해 국가에 3억5천만원을 배상하라고 판결했다. 재판부는 손해액을 국방부가 청구한 50억원이 아닌 7억원으로 산정했으며, 정부의 네트워크 보안 관리상 과실이 일부 있다며 LG CNS에게 손해의 50%인 3억5천만원만 국가에 배상하라고 판결했다. LG CNS는 이번 판결과 관련해 "향후 대응 방안을 검토 중이다"라고 밝혔다.
이번 소송에서 국방부는 2015년에 발생한 하우리PC해킹 사건 때 하우리의 전자서명 비밀키가 유출돼, 이로 인해 하우리 백신 소프트웨어를 사용한 국방부가 해킹당한 것이라고 주장했다.
그러나 항소심 판결문에 따르면 재판부는 "원고(국방부)가 제출한 증거들만으로 피고 하우리가 비밀키 관리를 제대로 하지 못한 과실로 비밀키가 유출돼 해킹사고가 발생했다고 인정하기에 부족하고, 달리 이를 인정할 만한 증거가 없다"며 "따라서 원고의 피고 하우리에 대한 불법행위 손해배상청구도 이유 없다"고 판결했다.
국방부는 2016년 북한 해커에 의한 국방망 해킹 사건과 관련해 하우리와 LG CNS를 상대로 2017년 50억 손해배상 소송(1심)을 제기했다. 국방부는 해당 소송에서 패소했고, 항소를 해 이번 2심이 진행됐다.
하우리는 국방망 해킹사건과 관련해 조달청에서 하우리를 부정당업자로 제재한 처분을 취소하는 소송 2심도 진행 중이다. 국방망 해킹 사건 발생 후, 조달청은 2017년 하우리를 계약사항을 위반해 국가에 피해를 끼친 사업자라며 6개월 동안 조달사업에 참여할 수 없는 부정당업자로 제재했다. 이에 하우리는 2018년 부정당업자제재 처분 취소 행정소송을 제기했고 2021년 1심에서 패소 후, 항소해 현재 2심이 진행 중이다.
■ 같은 쟁점, 엇갈린 판결…국방부 민사소송과 조달청 행정소송, 무엇이 달랐나
하우리는 국방망 해킹 사건과 관련해 ▲국방부와 50억 손해배상 민사 소송을 ▲조달청과는 부정당업자제재처분 취소 행정 소송을 동시 진행 중이다. 두 소송 모두 국방망 해킹 사고에 하우리의 책임이 있는지 여부가 중요한 요소다.
앞서 국방부에서 제기한 손해배상 소송에서는 재판부는 국방망 해킹 사고가 하우리의 과실로 발생했다고 보기 어렵다며, 하우리의 책임이 없다고 1심과 2심 모두 동일하게 판결했다.
그러나 조달청을 상대로 하우리가 제기한 행정 소송 1심에서는 같은 쟁점을 가지고도 다른 판결이 나왔다.
조달청은 하우리를 부정당업자로 제재한 사유로 ①하우리의 키 관리 부실로 2016년 국방망 해킹 피해가 증가한 점 ②2015년 하우리 해킹 사실을 은폐하고 지연보고 또는 허위보고한 점 ③2015년 하우리 해킹 때 북한 IP로 추정되는 IP를 차단하지 않아 2차 공격에 대한 대비가 미흡한 점 등을 내세웠다. 이는 국방부가 민사 소송에서 주장한 내용과 같다. 그렇다면 두 소송은 같은 쟁점을 가지고 왜 다른 판결을 내렸을까.
국방부와 조달청이 주장한 위의 내용은 군검찰 수사보고서에 담긴 내용이다. 행정 소송에서는 군검찰 수사보고서에 담긴 위의 주장이 그대로 인정된 반면, 국방부가 제기한 민사 소송에서는 해당 주장은 인정되지 않았다.
국방부와의 민사 소송에서 재판부는 ①하우리의 키 관리 부실로 국방망 해킹 피해가 발생했다는 주장에 대해 2015년에 유출된 키쌍들은 실제 하우리 업데이트 파일의 전자서명 비밀키와 완전히 다른 파일로, 2015년 하우리 해킹 사고로 하우리 비밀키가 유출됐다고 볼 만한 증거가 없다며, 1심과 2심 모두 동일하게 '하우리의 책임이 없다'고 판결했다.
또한 재판부는 불상의 해커가 하우리의 전자서명 비밀키를 어떤 방법으로 취득했는지, 취득하지 않았다면 어떤 방식으로 전자서명 비밀키를 위조하고 업데이트 파일을 위작했는지 등에 관한 자료가 없는 이상 하우리가 비밀키 관리에 소홀해 비밀키가 유출됐다거나 하우리 백신 프로그램이 구조적으로 취약하다고 볼 수 없다고 밝혔다.
②2015년 하우리 해킹 사실을 은폐하고 지연보고 또는 허위보고했다는 주장에 대해서는 하우리는 즉시는 아니지만 절차에 따라 국방부에 보고를 했고, 국방부도 관련해 사실 관계와 영향성 평가를 진행해 문제 없음으로 인지했던 사항으로 은폐하거나 허위보고한 사항이 없다고 판결했다.
③2015년 하우리 해킹 때 북한 IP로 추정되는 IP를 차단하지 않아 2차 공격에 대한 대비가 미흡하다는 주장에 대해서는 하우리는 백신을 개발하는 보안 회사로서 북한 IP 대역에서의 각종 활동을 감시하기 위해 북한 IP를 차단하지 않고 모니터링 해야 하는 부분을 인정해 대비가 미흡하다고 볼 수 없다고 판결했다.
하우리가 조달청을 상대로 제기한 부정당업자 제재 취소 소송 항소심(2심)은 현재 진행 중으로, 변론이 곧 재개될 예정이다. 국방망 해킹 사건에 하우리의 책임이 없다고 판결난 이번 손해배상 소송은 향후 부정당업자 제재 처분 취소 행정 소송에 영향을 미칠 것으로 전망된다.
하우리 김희천 대표는 "50억 손해배상 원심에 이어 항소심에서도 하우리는 계약을 어긴 사실이 없고 국방부 해킹에 책임이 없다고 판결됐다"며 "다가오는 부정당업자제재처분 항소심 판결 선고에서도 재판부의 공정한 판결을 있기를 기대한다"라고 말했다.
한편, 국방부는 국방망 해킹 사고 이후에도 지난 2019년까지 내부망에 하우리 백신을 사용했으며, 2020년부터 현재까지는 기타망에 하우리 백신을 사용 중이다.
이 과정에서 국방부가 하우리 제품을 계약 없이 무단으로 사용 및 정당한 용역 대금을 지급하지 않아 하우리는 백신제품 용역비 소송을 2018년 진행했다. 재판부는 국방부에게 용역 대금 및 부당이익금으로 44억원을 하우리에 지급하라고 판결했으며, 국방부가 이에 항소해 현재 백신 용역비 소송 2심이 진행 중이다.