침대에 누워 스마트폰을 보다가 오래된 앱(App)들을 정리한 적이 있다. 카페 앱에 들어가보니 몇몇 카페들이 눈에 띈다. 3~4년 전에 가입한 카페들인데, 새로운 글이 올라 온지 한참 되었다. 해킹으로 인해 개인정보가 유출된 사업자들을 대상으로 손해배상청구 소송을 진행하는 카페들이다. 피해자로 가입하여 소송에 참여해 본 카페도 있고, 호기심 삼아 가입한 카페도 있다. 이미 대법원 판결이 나온 사건도 있고, 몇 년째 소송이 계속되는 사건도 있다.
게임사, 포털사이트, 카드사, 쇼핑몰, O2O(Online To Offilne) 업체 등 잊을 만하면 꾸준히 개인정보 유출 뉴스가 나온다. 해킹을 당한 사업자의 업태나 규모도 무척 다양하다. 그렇다면 해킹으로 인해 개인정보가 유출될 시 우리 법은 어떤 기준으로 사업자의 책임 여부를 판단하고 있을까?
2. 사실관계
간략히 해킹 경위를 살펴보면, 해커는 N사 해킹을 위해 파일 압축프로그램의 업데이트 과정을 이용하였다. 당시 E사는 개인 사용자용 파일 압축 프로그램을 무료로 배포하면서, 프로그램 자체는 무료로 배포하는 대신에 프로그램 실행 시 상단에 광고가 나오도록 하여 수익을 얻고 있었다. 해당 광고는 주기적으로 교체가 되고 있었는데, 파일 압축 프로그램에 포함된 ‘ALAD.dll’ 파일을 교체하면 해당 파일이 구동되어 광고 교체가 이루어졌다.
해커는 이에 착안하여 E사의 파일 압축 프로그램 업데이트 서버에 ‘stmpxml.dll’ 파일을 등록하였다. 해킹 대상 N사가 사용하는 IP 주소 PC에서 업데이트 서버에 접속할 경우, 정상적인 다운로드 경로가 아니라 해커가 설정한 악성 프로그램 유포지에서 ‘ALAD.dll’ 파일과 동일한 이름의 악성 프로그램 파일이 PC에 다운로드 되도록 조작하였다.
2011년 7월 경 N사 직원의 PC가 E사 업데이트 서버에 접속하여 ‘ALAD.dll’ 파일을 다운로드 받았고, 악성 프로그램 파일에 감염되었다. 그러자 해커는 감염된 PC를 이용하여 N사 개인정보 DB에 접속한 후, 개인정보를 덤프(Dump) 파일로 생성하여 압축한 다음 이를 FTP(File Transfer Protocol) 명령어 등을 이용해서 중국으로 전송하였다.
유출된 개인정보에는 아이디, 비밀번호, 주민등록번호, 성명, 생년월일, 이메일 주소, 전화번호, 주소 등이 포함되어 있었다. 일부 회원의 경우 혈액형이나 닉네임 등도 포함되어 있었다.
N사 회원들은 N사가 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’) 등의 관련 법령 상 또는 서비스 이용 계약 상의 개인정보보호 의무를 다하지 못했음을 주장하며, N사를 상대로 개인정보 유출에 대한 손해배상 청구 소송을 제기하였다.
3. 판결요지
가. 1심과 2심
전국 각지에서 다수의 소송이 진행되었다.
1심과 2심 사건의 일부 판결이 N사의 손해배상 책임을 인정하기도 하였지만, 2심에서 대부분 손해배상 책임이 부정되었다.
나. 이 사건 판결 : 대법원 2018 1. 25. 선고 2015다24904 판결
대법원은 원고들 상고를 기각하고, N사의 손해배상 책임을 부정하였다.
구 정보통신망법(2012. 2. 17. 법률 제11322호로 개정되기 전의 것) 제28조 제1항은 정보통신서비스 제공자 등이 개인정보를 취급할 때에는 개인정보의 분실ㆍ도난ㆍ누출ㆍ변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 바에 따라 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립ㆍ시행, 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치ㆍ운영 등과 같은 기술적ㆍ관리적 조치를 하여야 한다고 규정하고 있었다.
그리고 대통령령은, 방송통신위원회가 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다고 규정하고 있었다. 이에 따라 방송통신위원회가 마련한 ‘개인정보의 기술적ㆍ관리적 보호조치 기준’(방송통신위원회 고시 제2011-1호, 이하 ‘이 사건 고시’)은 해킹 등 침해사고 당시의 기술수준 등을 고려하여 정보통신서비스 제공자가 구 정보통신망법 제28조 제1항 등에 따라 준수해야 할 기술적ㆍ관리적 보호조치를 구체적으로 규정하고 있었다.
대법원은 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적ㆍ관리적 보호조치를 다하였다면, 특별한 사정이 없는 한 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다고 판단하였다.
다만 이 사건 고시는 정보통신서비스 제공자가 준수하여야 할 최소한의 기준을 정한 것으로 보는 것이 타당하므로, 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적ㆍ관리적 보호조치를 다하였다고 하더라도, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고, 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는 위법행위로 평가될 수 있다고 판단하였다.
나아가 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적ㆍ관리적 보호조치를 다하였다고 하더라도 불법행위에 도움을 주지 말아야 할 주의의무를 위반하여 타인의 불법행위를 용이하게 하였고 이러한 방조행위와 불법행위에 의한 피해자의 손해발생 사이에 상당인과관계가 인정된다면 민법 제760조 제3항에 따른 공동불법행위자의 책임을 면할 수 없다고 판단하였다.
4. 판결의 의의
기존 대법원 판례는 해킹사고 발생 시 “정보통신서비스 제공자가 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종, 영업규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다”고 밝히고 있었다.
그러나 위와 같은 기준에도 불구하고 “특히…(생략)… 정보통신서비스 제공자가 정보통신부 장관이 마련한 ‘개인정보의 기술적ㆍ관리적 보호조치 기준’에서 정하고 있는 기술적ㆍ관리적 보호조치를 다하였다면, 특별한 사정이 없는 한, 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다”는 입장을 취하고 있었다(대법원 2015. 2. 12. 선고 2013다43994, 44003 판결 등).
이러한 대법원 판례에 대해서는 현실을 반영하지 못한다는 의견도 존재하였다. 왜냐하면 소규모 쇼핑몰부터 포털사이트까지 다양한 유형의 정보통신서비스 제공자가 존재하는데, 정부가 고시한 ‘개인정보의 기술적ㆍ관리적 보호조치 기준’이 정보통신서비스 제공자가 준수하여야 하는 모든 사항을 구체적으로 규정했다고 보기에는 무리가 있었고, 사실 상 동 기준을 준수하기만 하면 면책된다는 것은 쉽게 납득이 되는 결론이 아니었기 때문이다.
2011년 7월 N사 해킹사건 발생 당시의 개인정보의 기술적ㆍ관리적 보호조치 기준을 보면(방송통신위원회 고시 제2011-1호), 동 고시는 제1조(목적)에서 ‘정보통신서비스 제공자 등이 이용자의 개인정보를 취급함에 있어 취하여야 하는 기술적ㆍ관리적 보호조치의 구체적 기준을 정하는 것을 목적으로 한다’고 규정하고 있었다.
그러나 동 고시는 2009년 9월 7일 개정이 된 이후 2011년 1월 5일에야 다음 개정이 이루어진 상태였고, 고시 전체 내용이 제1조부터 제10조까지 정도로 구성되어 있는 등 필요한 모든 사항을 구체적으로 규정했다고 보기에는 의문이 드는 것이 사실이었다.
한편 2015. 5. 19. 개정된 개인정보의 기술적ㆍ관리적 보호조치 기준(방송통신위원회 고시 제2015-3호)은 제1조(목적) 제1항을 ‘이 기준은 정보통신서비스 제공자 등이 취하여야 하는 기술적ㆍ관리적 보호조치의 최소한의 기준을 정하는 것을 목적으로 한다’고 개정하기도 하였다.
이 판결은 이 사건 고시를 정보통신서비스 제공자가 준수하여야 할 최소한의 기준으로 보았다는 점에서 의미가 있다. 앞으로는 다양한 유형의 정보통신서비스 제공자가 각자의 환경에 적합한 좀 더 현실적인 개인정보보호 조치를 취하게 될 것으로 기대된다. 다만 정보통신서비스 제공자 입장에서는 어떤 보호 조치를 추가적으로 취해야 할 것인지 혼란스러울 것이다. 이 사건 고시가 누군가에게는 최소한의 기준일 수 있지만, 새로 시작하는 스타트업에는 준수하기 어려운 부담일 수 도 있다. 이 사건 판결 이후 나오는 다른 개인정보 유출 소송의 결과를 지켜봐야 할 것이다.
5. 나가며
가해자인 해커는 잡히지 않고, 사업자에게 책임을 묻는 방향으로 일이 진행되기 마련이다. 해킹 사고가 발생할 때마다 우리 정보통신망법은 징벌적 손해배상 제도를 도입하고, 과징금 부과 기준을 상향하는 등 사업자의 책임을 묻는 방향으로 개정되어 왔다. 이 사건 고시는 최소한의 기준이라고 발을 빼고, 사업자에게 책임을 미루는 것은 타당하지 않다고 본다. 개인정보를 수집하지 않도록 하거나, 유출되더라도 사용이 불가능하게 하는 등 장기적으로 정책을 변경해야 하는 문제가 아닐까 한다.
해킹 결과만을 놓고 사후적으로 보면 과거 해킹 발생 당시 사업자가 취했던 개인정보보호 조치는 부족해 보이기 마련이다. 소송에는 오랜 시간이 걸리고, 그 사이에 해킹 방법과 보안 기법은 계속 발전하기 때문일 것이다. 해킹 당시에는 소규모 사업자였다가 해킹 이후 크게 성장한 사업자인 경우는 더욱 그럴 것이다. 사후적으로 보고 결과 책임만을 묻지 않도록 유의해야 할 것이다.
쉽게 간과되는 것이 해킹을 당한 사업자 역시 피해자라는 것이다. 가해자는 잡히지 않는데 피해자끼리 다투다가, 북적거리던 카페는 조용히 문을 닫는 모습이 더 이상 반복되지 않기를 기대해본다.