사건 개요

2008년, 한 유명 인터넷 오픈마켓 사이트가 해킹 공격을 받아 약 1,800만 명에 달하는 회원들의 개인정보가 유출되는 사고가 발생했어요. 유출된 정보에는 이름, 주민등록번호, 주소, 연락처, 계좌번호 등이 포함되었죠. 이에 개인정보가 유출된 회원들이 해당 오픈마켓 회사와 그 보안관제 업체를 상대로 정신적 피해에 대한 손해배상을 청구한 사건이에요.

원고의 입장

피해 회원들은 오픈마켓 회사가 개인정보 보호를 위한 기술적, 관리적 조치를 소홀히 했다고 주장했어요. 구체적으로 웹 방화벽을 설치하지 않았고, 주민등록번호 등 중요 개인정보를 암호화하지 않았으며, 서버 관리자 계정의 비밀번호를 부실하게 관리하는 등 주의의무를 위반하여 해킹 사고를 유발했다고 지적했어요. 따라서 이로 인해 발생한 정신적 고통에 대해 위자료를 지급해야 한다고 주장했죠.

피고의 입장

오픈마켓 회사와 보안관제 업체는 당시 법령과 정부 고시에서 요구하는 기술적·관리적 보호조치를 모두 이행했다고 반박했어요. 해커가 사용한 수법은 당시 기술 수준으로는 완벽하게 방어하기 어려운 고도화된 공격이었으며, 회사는 합리적으로 기대 가능한 수준의 보안 시스템을 갖추고 있었다고 주장했어요. 또한, 주민등록번호 암호화는 당시 법적 의무사항이 아니었고, 웹 방화벽 미설치만으로 주의의무 위반이라 볼 수 없다고 맞섰어요.

법원의 판단 (상·하급심)

1심, 2심, 그리고 대법원까지 모든 법원은 기업의 손을 들어주었어요. 법원은 정보통신서비스 제공자가 사회통념상 합리적으로 기대 가능한 수준의 보호조치를 다했다면, 해킹으로 정보가 유출되었더라도 손해배상 책임을 지지 않는다고 판단했어요. 이 사건에서 회사는 당시 법령과 관련 고시에서 정한 기준을 준수했고, 해킹 기술의 수준과 당시 보안 기술의 한계 등을 고려할 때, 기업이 보호조치 의무를 위반했다고 보기 어렵다고 결론 내렸어요.

법적 포인트

이 판결은 해킹으로 인한 개인정보 유출 사고에서 정보통신서비스 제공자의 손해배상 책임 범위를 명확히 한 중요한 사례예요. 법원은 기업에 무한한 책임을 요구하는 것이 아니라, '사고 당시의 기술 수준'과 '사회통념상 합리적으로 기대 가능한 보호조치'를 이행했는지를 기준으로 판단해요. 특히, 정부가 고시한 '개인정보의 기술적·관리적 보호조치 기준'을 준수했다면, 특별한 사정이 없는 한 법률상 또는 계약상 의무를 다한 것으로 인정될 수 있다는 점을 밝혔어요. 이는 기업이 법규를 준수하는 것이 얼마나 중요한지를 보여주는 대목이에요.

나의 사건과 유사할까?

• 운영하는 웹사이트에서 해킹으로 인해 고객의 개인정보가 유출된 적 있다.
• 사고 당시 정보통신망법 등 관련 법령에서 요구하는 보안 조치를 충실히 이행했다고 생각한다.
• 해킹에 사용된 수법이 당시 기술 수준으로 방어하기 어려운 신종 또는 고도화된 방식이었다.
• 정부의 개인정보보호 관련 고시나 가이드라인을 준수하여 보안 시스템을 구축 및 운영해왔다.

체크리스트 중 여러 항목에 해당된다면 이 사건과 유사한 상황일 수 있으며, 특히 기업의 개인정보 보호조치 의무 이행 여부가 주요 법적 쟁점이 될 수 있어요.