[손배] "해킹사고에 KT 배상책임 없어"
[손배] "해킹사고에 KT 배상책임 없어"
  • 기사출고 2018.01.22 09:28
이 기사를 공유합니다

[중앙지법] 1심 엇갈린 가운데 항소심 판결 나와 주목
2012년 발생한 KT 해킹사고와 관련, KT는 손해배상책임이 없다는 항소심 판결이 나왔다. 보안조치를 우회하거나 무력화하는 해킹 기술의 발전을 고려할 때 방통위 고시에서 정하고 있는 기술적 · 관리적 보호조치를 다하였다면 정보통신서비스 제공자에게 책임을 물을 수 없다는 취지여서 주목된다. 1심 재판에선 손해배상책임을 인정한 판결과 그렇지 않은 판결로 재판 결과가 나뉘었다.

서울중앙지법 민사4부(재판장 송인권 부장판사)는 1월 17일 KT 서버가 해킹당해 개인정보가 유출되었으니 1인당 30만원의 손해를 배상하라며 강 모씨 등 KT 가입자 81명이 KT를 상대로 낸 소송의 항소심(2015나61155)에서 "피고는 원고들에게 1인당 위자료 10만원씩을 지급하라"고 판결한 1심을 깨고, 원고들의 청구를 기각했다.

재판부는 먼저 "정보통신서비스 제공자는 정보통신망법 28조 1항 각 호에서 정하고 있는 개인정보의 보호를 위하여 필요한 기술적 · 관리적 조치를 취하여야 할 법률상 의무를 부담하고, 나아가 정보통신서비스 제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결하면서, 이용자로 하여금 이용약관 등을 통해 개인정보 등 회원정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면, 정보통신서비스 제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실 · 도난 · 누출 · 변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상의 의무를 부담한다"고 전제하고, "그런데 정보통신서비스가 '개방성'을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스 제공자가 구축한 네트워크나 시스템 및 그 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 '해커' 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 아니한 점, 해커 등은 여러 공격기법을 통해 정보통신서비스 제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스 제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적인 점 등의 특수한 사정이 있으므로, 정보통신서비스 제공자가 정보통신망법 28조 1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종 · 영업규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다"고 밝혔다.

재판부는 이어 "방송통신위원회가 마련한 고시 '개인정보의 기술적 · 관리적 보호조치 기준'은 해킹 등 침해사고 당시의 기술수준 등을 고려하여 정보통신서비스 제공자가 정보통신망법 28조 1항, 같은법 시행령 15조 6항에 따라 준수해야 할 기술적 · 관리적 보호조치의 구체적인 기준을 규정하고 있으므로, 정보통신서비스 제공자가 고시에서 정하고 있는 기술적 · 관리적 보호조치를 다하였다면, 특별한 사정이 없는 한, 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다"고 판단했다.

또 "방통위 고시 4조 5항은 개인정보처리시스템에 접속권한을 제한하여 인가받지 않은 접근을 제한하라고 규정하고 있을 뿐, 개인정보처리시스템에 대한 접근통제장치가 반드시 협의의 개인정보처리시스템 내부에 존재해야 한다고 정한 것은 아니고, 또한 개인정보처리시스템을 구성하는 각 서버들이 진입단계에 있는 접근통제장치와 순차적으로 접속되는 방식 대신 접근통제장치와 각각 직렬로 접속되는 방식을 요구한다거나, 순차적인 접속방식을 취하는 시스템의 경우 진입 단계에서 접근통제장치를 갖추는 것에서 더 나아가 한 번의 접근통제장치를 거친 이후에 연결된 다른 서버의 매 단계마다 접근통제장치를 갖출 것까지 요한다고 해석하기는 어렵다"고 지적하고, "여기에 ①외부 사용자가 KT의 무선 전산영업시스템인 N-STEP을 통해 고객의 정보를 조회하기 위해서는 VPN(가상 사설망) 계정과 비밀번호를 통한 접속, N-STEP 계정과 비밀번호를 통한 인증, MAC 주소(특정 구역내 정보통신망인 LAN에 사용되는 네트워크 모델인 이더넷의 물리적인 주소) 인증, AUT로부터 발급받은 토큰의 인증의 4단계를 거쳐야 하는데, MAC 주소는 IP주소와 유사하게 사용자의 PC에 고유하게 부여되어 있는 것으로서 N-STEP 시스템의 접근통제는 사용자가 알고 있는 N-STEP 사용자 계정과 비밀번호로 이루어질 뿐만 아니라 사용자가 소지하고 있는 MAC 주소를 통한 추가적인 인증절차를 두고 있고, ②N-STEP UI(사용자 인터페이스)는 접속된 인증토큰의 유효성을 10분에 한 번씩 확인하여 유효한 토큰이 아닐 경우에 접속을 차단하는 기능을 갖고 있는 점 등을 보태어 보면 N-STEP 시스템의 접근통제 장치가 불완전한 것으로서 방통위 고시 4조 5항에서 정하는 기술적 · 관리적 보호조치를 다하지 못한 것이라고 보기는 어렵다"고 밝혔다.

따라서 정보유출사고 당시 정보통신망 관련 법령에서 정한 기술적 · 관리적 보호조치의 내용, 당시 보편적으로 알려져 있는 정보보안의 기술수준, 피고가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안 기술의 발전 정도에 따른 피해발생의 회피가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 제반사정을 종합적으로 고려하면, 피고가 정보유출사고와 관련하여 원고들이 주장하는 바와 같은 정보통신망 법령에 따른 고시 위반사실이 있다거나 피고가 개인정보 유출방지에 관한 기술적 · 관리적 보호조치를 이행하지 아니한 과실로 인하여 정보유츌사고가 발생했다고 보기 어렵다는 것이 재판부의 판단. 재판부는 "이와 달리 피고가 정보통신망 관련 법령상의 기술적 · 관리적 보호조치를 위반했음을 전제로 한 원고들의 청구는 더 나아가 살필 필요 없이 이유 없다"고 판시했다.

이흥엽 변호사가 원고들을, KT는 법무법인 태평양이 대리했다.

김덕성 기자(dsconf@legaltimes.co.kr)

Copyrightⓒ리걸타임즈(www.legaltimes.co.kr), 무단전재 및 재배포 금지