사건 개요

2011년 7월, 한 해커가 소프트웨어 개발사의 프로그램 업데이트 서버를 해킹했어요. 이를 통해 포털 회사의 내부망에 침투한 뒤, 약 3,500만 명에 달하는 회원들의 개인정보를 유출시킨 사건이에요. 피해를 입은 회원들은 포털 회사, 소프트웨어 개발사, 그리고 감독 의무를 소홀히 했다며 정부를 상대로 손해배상 소송을 제기했어요.

원고의 입장

회원들은 포털 회사가 보안에 취약한 무료 공개용 압축 프로그램을 직원이 사용하도록 방치했고, 법에서 정한 기술적·관리적 보호조치를 제대로 이행하지 않았다고 주장했어요. 또한 소프트웨어 개발사는 자사 프로그램의 보안 취약점을 방치해 해킹의 빌미를 제공했다고 지적했어요. 더불어 정부(방송통신위원회) 역시 해당 포털 회사에 대한 관리·감독 의무를 소홀히 했다며 공동으로 책임을 져야 한다고 주장했어요.

피고의 입장

포털 회사는 관련 법령이 정한 기술적·관리적 보호조치를 모두 지켰으며, 해킹을 막지 못했다는 결과만으로 책임을 묻는 것은 부당하다고 반박했어요. 소프트웨어 개발사 역시 법적 보호조치를 다했고, 해킹 수법을 예측할 수 없었으므로 책임이 없다고 주장했어요. 정부는 해당 포털 회사가 정보보호 안전진단을 통과했기에 감독 의무에 문제가 없었고, 법령에 따른 기준 고시 의무도 이행했다고 맞섰어요.

법원의 판단 (상·하급심)

1심, 2심, 대법원 모두 포털 회사, 소프트웨어 개발사, 정부의 손을 들어주며 원고들의 청구를 기각했어요. 법원은 포털 회사가 해킹 사고 당시의 법령과 고시에서 정한 기술적·관리적 보호조치를 모두 이행했다고 판단했어요. 일부 보안 조치에 미흡한 점이 있었더라도, 당시 기술 수준과 사회 통념상 합리적으로 기대 가능한 수준의 보호조치 의무를 위반했다고 보기는 어렵다고 설명했어요. 따라서 개인정보 유출과 회사의 조치 사이에 법적인 인과관계를 인정하지 않았고, 다른 피고들에게도 책임을 물을 수 없다고 판결했어요.

법적 포인트

이 판결은 정보통신서비스 제공자의 개인정보 유출에 대한 손해배상 책임의 범위를 명확히 한 중요한 사례예요. 법원은 해킹 사고 당시의 기술 수준에서 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다했는지를 기준으로 판단했어요. 특히, 법령과 주무 부처의 고시에서 정한 기술적·관리적 보호조치를 모두 준수했다면, 특별한 사정이 없는 한 법적 의무를 다한 것으로 보았어요. 즉, 기업이 법에서 요구하는 최소한의 안전장치를 마련했다면, 예측하기 어려운 고도화된 해킹으로 발생한 피해까지 모두 책임지지는 않는다는 점을 분명히 한 것이에요.

나의 사건과 유사할까?

• 개인정보 유출 사고로 정신적 피해에 대한 배상을 고민한 적 있다
• 서비스 제공 기업이 법적 기준을 준수했는지가 쟁점인 상황이다
• 해킹 수법이 고도화되어 예측하기 어려웠다는 주장이 제기된 상황이다
• 기업이 정보보호 관련 인증을 받지 않았거나, 일부 보안 조치가 미흡했던 사실이 있다
• 법에서 정한 최소한의 보호조치를 넘어선 수준의 안전 의무를 요구할 수 있는지 다투고 있다

체크리스트 중 여러 항목에 해당된다면 이 사건과 유사한 상황일 수 있으며, 특히 기업의 개인정보 보호조치 의무 수준이 주요 법적 쟁점이 될 수 있어요.