“2011년 당시 법령이 정한 해킹방지 보호조치 의무 준수”2012년 해킹 사고 KT는 1인당 10만원씩 지급 판결

2011년 7월 발생한 네이트와 싸이월드 서버 해킹으로 개인정보를 유출 당한 피해자들에 대해 서비스 제공업자인 SK커뮤니케이션즈가 손해를 배상할 책임은 없다는 법원 판결이 나왔다.

대전지법 제12민사부(장성관 부장판사)는 개인정보 유출 피해자 423명이 SK커뮤니케이션즈를 상대로 낸 손해배상 청구소송에서 원고의 소를 각하하거나 청구를 모두 기각했다고 26일 밝혔다.

피해자들은 2011년 7월 26∼27일 중국 해커의 서버 침입으로 네이트와 싸이월드 회원 3천490여만명의 ID, 비밀번호, 주민등록번호, 성명, 생년월일, 이메일 주소, 전화번호, 주소 등이 유출되자 재산적, 정신적 손해를 봤다며 1인당 100만원씩을 청구하는 소송을 냈다.

그러나 법원은 SK커뮤니케이션즈가 개인정보 유출 방지를 위한 보호조치를 제대로 이행했느냐가 쟁점인 이 사건에서 SK커뮤니케이션즈로서는 당시 법령에 규정된 기술적, 관리적 의무를 다했다고 봤다.

재판부는 우선 “이 사건 해커가 외부에서 SK커뮤니케이션즈 개인정보처리시스템에 곧바로 접속한 것이 아니라 내부망에 먼저 침입한 뒤 로그아웃되지 않은 직원 컴퓨터에서 개인정보처리시스템에 접속했다”며 “외부에서 개인정보처리시스템에 직접 접속하는 경우를 전제로 공인인증서 등 추가 인증수단을 마련하지 않아 개인정보가 유출됐다는 주장은 받아들일 수 없다”고 판시했다.

이어 데이터베이스 서버 담당자에게 부여된 한정된 IP 주소로만 서버에 접속할 수 있도록 했고 개인정보시스템 침입 탐지 및 차단 프로그램을 운영하고 있었으며 회원 비밀번호와 주민등록번호를 암호화해 관리하고 있었던 점 등에 비춰볼 때 SK커뮤니케이션즈가 개인정보 유출 방지를 위한 보호조치 의무를 위반했다고 보기 어렵다고 판단했다.

반면 2012년 7월 발생한 KT 개인정보 유출 사고와 관련해 피해자 2만8천715명이 낸 손해배상 청구소송에서 서울중앙지법은 최근 ‘KT는 1인당 10만원씩 지급하라’고 판결했다.

이 사건 재판부는 “KT가 사내 통신망의 ID와 비밀번호, 사용자 계정에 대한 관리를 소홀히 했다”며 “망 내 데이터베이스에 주민등록번호와 같은 중요 정보도 암호화하지 않고 저장했다”고 지적했다.

이어 “(이 같은) 해킹 당시 보안 조치의 내용, 해킹 방지 기술 도입을 위해 들인 경제적 비용 등을 고려하면 KT가 개인정보 누출 방지를 위해 관리자로서의 의무를 다하지 못했다고 판단된다”고 설명했다.

연합뉴스