사건 개요

한 해커가 2013년 8월부터 약 7개월간 통신사 홈페이지에 불법 접속하여 1,170만 건이 넘는 개인정보를 유출했어요. 해커는 자신의 아이디로 로그인한 후, 요금명세서 조회 요청 과정에서 '고객서비스계약번호'를 다른 번호로 바꿔 입력하는 '파라미터 변조' 수법을 사용했어요. 이로 인해 원고들을 포함한 약 981만 명의 이름, 주민등록번호, 주소, 은행계좌번호 등 민감한 정보가 유출되었고, 피해자들은 통신사를 상대로 손해배상 소송을 제기했어요.

원고의 입장

정보 유출 피해자인 원고들은 통신사가 개인정보 보호를 위한 기술적·관리적 조치를 소홀히 했다고 주장했어요. 통신사가 로그인 정보와 조회하려는 고객 정보가 일치하는지 확인하는 절차를 누락했고, 특정 IP에서 하루 30만 건이 넘는 비정상적 조회를 탐지하지 못했다고 지적했어요. 또한, 인증정보인 고객서비스계약번호를 암호화하지 않는 등 정보통신망법과 관련 고시를 위반했으므로 정신적 손해를 배상해야 한다고 주장했어요.

피고의 입장

통신사인 피고는 해킹 사고 당시 사회통념상 합리적으로 기대 가능한 수준의 보호조치를 다했다고 반박했어요. 침입방지시스템(IPS) 설치·운영, 자동화된 점검 도구 도입, 정기적인 모의 해킹 수행 등 관련 법규를 준수했다고 주장했어요. 또한, 해커가 사용한 '파라미터 변조' 수법은 정상적인 이용자의 접속과 구별하기 어려워 탐지가 쉽지 않았다고 항변했어요.

법원의 판단 (상·하급심)

1심, 2심, 대법원 모두 통신사의 손을 들어주며 원고들의 청구를 기각했어요. 법원은 정보통신서비스 제공자가 해킹 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다했는지 여부를 기준으로 판단해야 한다고 밝혔어요. 피고가 침입방지시스템을 운영하고, 웹 취약점 점검 등 다각적인 보안 조치를 취한 점을 인정했어요. 따라서 피고가 관련 고시에서 정한 기술적·관리적 보호조치 의무를 위반했다고 보기 어렵다고 판단했어요.

법적 포인트

이 사건의 핵심은 개인정보 유출 사고 발생 시 정보통신서비스 제공자의 책임 범위에 관한 것이에요. 법원은 해킹으로 정보가 유출되었다는 사실만으로 사업자에게 무조건 책임을 물을 수는 없다고 보았어요. 사업자가 해킹 당시의 기술 수준과 사회적 통념에 비추어 합리적인 수준의 보안 조치를 취했다면, 법률상 의무를 다한 것으로 판단해요. 즉, 완벽한 보안이 아닌 '합리적인 수준의 보호조치' 이행 여부가 배상 책임의 기준이 된 사건이에요.

나의 사건과 유사할까?

• 정보통신서비스 제공자로부터 개인정보가 유출된 적이 있다
• 해킹(파라미터 변조 등)으로 인해 정보가 유출된 상황이다
• 서비스 제공자가 기술적 보호조치를 다했는지가 쟁점인 상황이다
• 기업을 상대로 손해배상 소송을 고려하고 있다

체크리스트 중 여러 항목에 해당된다면 이 사건과 유사한 상황일 수 있으며, 특히 정보통신서비스 제공자의 기술적·관리적 보호조치 의무 이행 여부가 주요 법적 쟁점이 될 수 있어요.