해킹사고가 발생, 개인정보 유출 피해를 입은 KT 고객들이 KT로부터 1인당 10만원씩의 위자료를 받을 수 있게 됐다.

서울중앙지법 심창섭 판사는 2월 17일 개인정보가 유출된 강 모씨 등 39명이 손해를 배상하라며 KT를 상대로 낸 소송(2014가소413127)에서 "KT는 위자료로 1인당 10만원씩 지급하라"고 판결했다.

해커인 김 모씨는 KT의 마이올레 홈페이지에 접속한 후 계약자번호를 자동으로 변경하는 컴퓨터 프로그램을 이용하는 방법으로 2013년 8월부터 2014년 2월까지 11,708,875건에 해당하는 고객의 개인정보를 유출했다. 이에 정보유출 피해를 본 강씨 등이 KT를 상대로 1인당 20만원씩의 위자료 지급하을 요구하는 소송을 냈다.

심 판사는 먼저 "정보통신서비스제공자가 법률상 의무를 다했는가의 여부와는 달리 계약상의 의무를 다했는가를 판단함에 있어서는, 정보통신서비스제공자는 고객의 개인정보를 안전하게 보호하기 위하여 최선의 노력을 다할 계약상의 의무가 있으므로 침해사고가 발생하면 일단 정보통신서비스제공자에게 의무위반이 있다고 보고, 정보통신서비스제공자가 최선의 노력을 다하여 의무를 이행하였다는 사실에 관한 주장 · 입증을 하면 면책이 되고, 주장 · 입증을 다하지 못하면 책임을 지도록 할 필요가 있고, 그렇게 하여야 이러한 침해사고를 방지하여 개인정보의 안전성을 확보하고, 개인정보의 보호를 위한 안전망에 대한 기술수준을 발전시킬 수 있을 것"이라고 밝혔다.

심 판사는 "이 사고 후 피고는 1)서버에서 본인 여부를 재확인하는 로직의 추가, 2)시스템의 주요 키값 암호화, 3)마이올레 로그분석 시스템의 구축, 4)해킹에 노출된 도메인 삭제와 신규 도메인의 생성, 5)서버를 외부접속용과 내부접속용으로 분리, 6)보안관력 인력의 보강, 7)해킹 위협에 선제대응하는 조치강구 등의 방안을 마련하였고, 그 후에는 해킹 사고가 발생하지 않았다고 주장하고 있는데, 사고가 일어나기 이전에 피고가 이와 같은 예방조치를 취하지 못한 상당한 이유가 있었다는 사실에 관한 주장 · 입증이 없다"고 지적하고, "피고는 사고를 방지하기 위한 의무를 이행하지 못했다고 인정할 수 있고, 개인정보가 유출된 원고들에게 그로 인한 정신적 손해를 배상할 책임이 있다"며 위자료 액수를 1인당 10만원으로 정했다.

심 판사는 "(KT는) 7개월간에 걸쳐 11,708,875건의 개인정보유출이 이루어졌는데도 이를 확인하지 못했고, 서버를 외부접속용과 내부접속용으로 분리하지 아니한 사실만으로도 의무위반이 있다고 인정할 수 있다"고 덧붙였다.

정보통신서비스제공자는 정보통신망 이용촉짐 및 정보보호 등에 관한 법률 28조 1항에 따라 이용자의 개인정보에 대한 안전성 확보에 필요한 조치를 취할 법률상 의무가 있고, 정보통신서비스이용계약에 따라 같은 조치를 취할 계약상의 의무가 있다.

대법원 판결(2013다43994)은 이 의무를 이행하였는가를 판단하는 기준과 관련, "정보통신서비스제공자가 해킹 등 침해사고 당시 사화통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 하고, 특히 정보통신망법 시행규칙에 의하여 정보통신부장관이 마련한 개인정보의 기술적 · 관리적 보호조치기준(정보통신부 고시)은 해킹 등 침해사고 당시의 기술수준 등을 고려하여 정보통신서비스제공자가 정보통신망법 28조 1항에 따라 준수하여야 할 기술적 · 관리적 보호조치를 구체적으로 규정하고 있으므로, 정보통신서비스제공자가 고시에서 정하고 있는 기술적 · 관리적 보호조치를 다하였다면 특별한 사정이 없는 한 정보통신서비스제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다"고 밝히고 있다.

심 판사는 그러나 "이 판례와 같은 기준으로 정보통신서비스제공자의 주의의무위반 여부를 판단하게 되면, 해커들은 항상 침해 당시의 기술수준을 뛰어넘는 방법을 사용할 것이고, 정보통신서비스제공자는 당시의 사회통념상 합리적으로 기대 가능한 기술수준으로 개인정보를 관리하고 있을 것이므로 개인정보의 유출은 언제든지 발생할 수 있고, 이러한 사고에 대하여 정보통신서비스제공자는 항상 면책될 수 있게 되며, 이와 같은 개인정보유출사고가 계속 발생하더라도 계속 같은 논리로 면책이 이루어지고, 그 결과 개인정보유출의 피해자는 보호될 수 없을 것"이라며 "정보통신제공자의 경우 취급하고 있는 정보가 고객들에 대한 민감한 정보를 담고 있어 그 취급에 고도의 주의가 필요하고, 그 스스로 대기업으로서 수백만 또는 수천만명에 달하는 고객의 정보를 보유하고 있어서 개인정보를 보호하는 데에 들어갈 비용을 충분하게 마련할 재원이 있어 필요한 기술의 개발을 선도할 수 있는 지위에 있다는 점 등을 고려하면, 사회통념상 합리적으로 기대 가능한 기술수준을 준수한 것만으로 그 의무를 다했다고 인정하여 면책을 시켜주어서는 아니 될 것"이라고 말했다.

김현성 변호사가 원고들을, KT는 김앤장이 대리했다.

김덕성 기자(dsconf@legaltimes.co.kr)

Copyrightⓒ리걸타임즈(www.legaltimes.co.kr), 무단전재 및 재배포 금지