2011년 7월 발생한 네이트와 싸이월드 회원 약 3500만명의 개인정보 유출 사건과 관련, 네이트와 싸이월드를 운영하는 SK커뮤니케이션즈에 배상책임이 없다는 대법원 확정판결이 나왔다. 이번 판결은 1심에선 SK커뮤니케이션즈에 배상책임이 인정되기도 했으나 항소심에서 책임이 없다는 판결이 선고된 데 이어 대법원이 항소심 판결을 확인하며 방송통신위원회 고시에 따른 기술적 · 관리적 보호조치를 다하였다면 정보통신서비스 제공자에게 책임을 물을 수 없다는 점을 분명히 한 것이다.

대법원 제1부(주심 박정화 대법관)는 1월 25일 심 모씨 등 개인정보 유출 피해자들이 SK커뮤니케이션즈와 보안업체인 이스트소프트를 상대로 낸 손해배상청구소송의 상고심(2014다203410 등 5건)에서 심씨 등의 상고를 기각, 원고 패소 판결한 원심을 확정했다.

대법원은 "방송통신위원회가 마련한 고시인 '개인정보의 기술적 · 관리적 보호조치 기준'은 해킹 등 침해사고 당시의 기술 수준 등을 고려하여 정보통신서비스 제공자가 정보통신망 이용촉진 및 정보보호 등에 관한 법률 28조 1항 등에 따라 준수해야 할 기술적 · 관리적 보호조치를 구체적으로 규정하고 있다"고 전제하고, "정보통신서비스 제공자가 이 고시에서 정하고 있는 기술적 · 관리적 보호조치를 다하였다면, 특별한 사정이 없는 한 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다(대법원 2015. 2. 12. 선고 2013다43994, 44003 판결 등 참조)"고 밝혔다.

다만 이 고시는 정보통신서비스 제공자가 반드시 준수해야 할 최소한의 기준을 정한 것이어 정보통신서비스 제공자가 고시에서 정하고 있는 기술적 · 관리적 보호조치를 다하였다고 하더라도, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는 위법행위로 평가될 수 있다는 게 대법원의 판단.

대법원은 그러나 "해킹사고 당시 정보통신서비스 제공자인 SK커뮤니케이션즈는 정보통신망을 통한 불법적인 접근과 침해사고 방지를 위해 이 고시 등 관련 법령에 따라 침입차단시스템과 침입탐지시스템을 설치 · 운영하고 있었고, 이 시스템에는 고시 4조 5항 1, 2호에서 정한 기능이 포함되어 있었으며, 이외에도 SK커뮤니케이션즈는 자료유출방지 시스템인 DLP 솔루션을 설치 · 운영하고 있었으나, 서비스 이용약관에 규정된 내용과 해킹사고 당시 보편적으로 알려져 있었던 정보보안의 기술 수준, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피 가능성 등에 비추어 볼 때, DLP 솔루션이 개인정보 유출을 탐지하지 못했다고 하더라도, SK커뮤니케이션즈가 해킹사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하지 않았다고 볼 수 없다"고 지적하고, "SK커뮤니케이션즈가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다"고 판시했다.

대법원은 또 "정보통신서비스가 '개방성'을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스 제공자가 구축한 네트워크나 시스템과 그 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 '해커' 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 않고, 또한 해커 등은 여러 공격기법을 통해 정보통신서비스 제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스 제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적"이라며 "이처럼 정보통신서비스 제공자가 취해야 할 개인정보의 안전성 확보에 필요한 보호조치에 관해서는 고려되어야 할 특수한 사정이 있다"고 밝혔다.

2011년 7월 중국에 거주하는 것으로 추정되는 해커에 의해 네이트 또는 싸이월드 회원 약 3500만명의 개인정보가 유출되는 사고가 발생, 피해자들이 인터넷에 피해자 카페 등을 개설하며 여러 건의 집단소송을 낸 사건이다.

법무법인 대륙아주와 법무법인 유능, 법무법인 민후가 원고들을, SK커뮤니케이션즈는 김앤장, 이스트소프트는 법무법인 지후가 대리했다.

김덕성 기자(dsconf@legaltimes.co.kr)

Copyrightⓒ리걸타임즈(www.legaltimes.co.kr), 무단전재 및 재배포 금지