싸이월드·네이트 해킹으로 회원 3500만여명의 개인정보가 유출된 사건에 관한 손해배상청구 집단소송에서 법원이 원고의 손을 들어줬다.
과거에 법원이 유사한 소송에서 줄곧 IT업체들의 손을 들어준 것과는 완전히 반대되는 판결로, SK컴즈를 피고로 한 집단소송에서 원고 승소판결이 난 첫 사례다. 이번 판결로 인해 회원들의 개인정보를 다루는 기업들의 보안 및 관리의무에 대한 법원의 기준이 더욱 엄중해질 것으로 보인다.
서울서부지법 민사12부 배호근 부장판사는 15일 SK컴즈 해킹 피해자 2882명(원고)이 SK컴즈·이스트소프트·시만텍코리아·안랩을 상대로 낸 손해배상 청구에서 SK컴즈에 대해 원고들에게 1인당 20만원의 위자료를 지급하라고 판결했다. 다만 이스트소프트, 시만텍코리아, 안랩 등 정보보안 업체를 상대로 낸 손해배상 청구는 기각했다.
이번 소송에는 2882명만이 참가했다. 만일 개인유출 피해자 3500만명이 모두 소송에 참여해 승소판결을 받는다면 위자료는 총 7조원에 육박한다.
서부지법 민사12부는 판결문에서 "3500만여건의 개인정보가 여러 단계를 거쳐 외부로 유출됐는데도 SK컴즈 탐지 시스템이 이를 감지하지 못했고, 기업형 알집보다 보안상 취약한 공개용 알집을 사용해 해킹이 더 쉽게 이뤄지도록 했다"며 "담당 직원이 로그아웃하지 않고 새벽까지 컴퓨터를 켜둬 해커가 쉽게 서버에 접근할 수 있도록 하는 등 개인정보 보호 업무를 수행하는데 잘못이 있다"고 설명했다.
법원은 이제까지 회원의 개인정보를 유출한 기업에 대해 면죄부를 주곤했다. 이 때문에 개인정보 유출로 인한 피해와 앞으로 발생할 지 모르는 문제는 국민 개개인의 부담으로 돌아가고 누구도 책임을 지지않게 된다는 지적이 제기되어 왔다.
작년 11월 23일 서울중앙지법 민사합의32부 서창원 부장판사는 원고 패소판결을 내리면서 SK컴즈의 손을 들어줬다. 올 1월 9일에도 서울중앙지법 민사11단독 박평수 판사는 원고패소 판결을 내려, SK컴즈 편을 들었다. 당시 재판부는 판결문에서 “SK커뮤니케이션즈는 해킹 사고 당시 법에서 정한 기술적·관리적 보호조치를 이행한 것으로 보인다”고 판결했다. 앞서 작년 4월 대구지방법원에서 유능종 변호사가 SK컴즈로부터 위자료 100만원을 지급하라는 원고 일부 승소판결을 얻기는 했지만, 이번 판결은 집단소송에 대한 판결이라는 점에서 무게감이 다르다.
동일 사건에 대해서 1심 재판부간에 상이한 판결이 나온 이유는 재판부 간에 시각차이가 있기 때문이다. 게다가 지금까지 진행된 소송은 모두 1심 사건이기 때문에 각 판결간에 구속력도 없다.
만일 현재 진행 중인 1심 사건 중 한 건이라도 항소심(고등법원·대법원)에서 판례가 나오면 나머지 1심 사건에 구속력을 미칠 수 있다.
이날 서부지법 민사12부의 배호근 부장판사는 이번 판결문에서 SK컴즈가 ▲개인정보 유출을 탐지하지 못했다는 점, ▲기업용 알집이 아닌 공개용 알집을 사용했다는 점, ▲직원이 새벽까지 로그아웃하지 않았다는 점의 세 가지 과실을 인정했다. 이러한 과실이 특정 법률에 반드시 지켜야한다고 규정되어있는 것은 아니지만, SK컴즈가 마땅히 책임을 져야 하는 범위라고 판단한 것이다.
서부지법 민사12부의 이같은 판단은 작년 11월 민사합의21부, 민사11부가 “SK컴즈는 해킹 사고 당시 법에서 정한 기술적·관리적 보호조치를 이행했다”고 판결한 것과 완전히 배치되는 해석이다.
이로 인해 SK컴즈를 피고로 진행되고 있는 손해배상청구소송들에 직간접적으로 영향을 미칠지 주목된다. SK컴즈는 작년 한 해 유사한 소송에서 개인·집단소송을 포함해 약 16건 소송에서 승소를 한 바 있고 현재 십여건이 소송 진행 중인 것으로 알려졌다. SK컴즈가 패소한 것은 작년 대구 김천지원 소송과 이날 소송으로 단 2건이다.
테크앤로법률사무소의 구태언 변호사는 “법원이 지적한 개인정보 유출을 탐지하지 못했다는 점, 개인용 알집을 사용했다는 점, 직원이 새벽까지 로그아웃하지 않았다는 점 등은 앞으로 기업들의 보안의무를 다하는데 있어서 상당히 유의있게 신경써야할 부분이 될 것”이라고 분석했다.