안녕하세요. 박지영 변호사입니다. 한동안 핫했던 뉴스죠. 저도 SKT 가입자인데요. SKT 측에서 해킹을 당해 개인 정보가 유출됐고, 비정상적인 데이터 이동으로 보건대 거의 10G에 가까운 해킹 가능성이 얘기되고 있습니다. 많은 국민들은 SKT가 무조건 잘못했다라고 생각을 하시겠지만, 집단 소송으로 들어갔을 때 무조건 승소하는지에 대한 것은 조금 다른 문제입니다. 분노하실 수 있다는 걸 알지만, 정확한 정보를 드리는 것이 맞으므로 일단 얘기를 해 보겠습니다. 결론부터 말씀드리면 SKT가 무조건 이기느냐, 무조건 지느냐, 이 부분에 대해선 현재 판단할 수가 없습니다. 실제 소송을 들어간 이후 SKT가 결과적으로 보안 조치를 어느 정도로 했느냐를 살펴봐야 합니다.
총 세 개의 판결을 봐야하는데요. 하나씩 설명해드리겠습니다.
■ 첫 번째 판례 '2008년 옥션 개인정보 유출'
옥션 판결로 유명합니다. 2008년, 1천만 명의 개인정보가 유출된 사건인데요. 옥션이 그 당시 중국에서 해킹을 당하여 발생했습니다.이 부분에 대해서 집단 소송이 걸렸을 때 대법원은 '법령 고시에 열거된 보안 조치만 했으면 기업에 아무 문제가 없다'고 얘기를 합니다. 이처럼 아주 간단한 보안 조치일지라 하더라도 고시에 열거가 되어 있지 않으면 기업이 면책되는 구조입니다.
■ 두 번째 판례 '2011년 네이트, 싸이월드 개인정보 유출'
네이트와 싸이월드가 해킹을 당해서 그 당시 3,500만 명이 넘는 회원들의 개인 정보가 유출이 됐고 집단 소송을 당했습니다. 기존 어떤 대법원 판결의 원칙은 유지를 하되, 고시에 열거되어 있지 않다 하더라도 '사회통념상 합리적으로 기대가능한 보호 조치에 대해서는 기업이 했어야 한다, 이 부분을 하지 않았다면 면책될 수 없다'라는 판결이 나왔습니다. '사회통념상 합리적으로 기대가능한 보호 조치'에는 어떤 것들이 뭐가 있을까요? 기본적으로 우리가 컴퓨터를 켜고 나면 로그인을 하고 다 끝나면 로그아웃을 해야겠죠. 로그아웃을 하지 않으면 누구라도 내밀한 정보의 접근 가능성이 높아지는 건 충분히 알 수 있을 것입니다. 이런 정도의 간이한 내용이 이 범주 안에 들어갈 수 있을 것입니다.
'기업들이 어느 정도를 해야 사회 통념상 기대가능한 보호 조치를 한 것인가?'
이 부분은 정말로 우리나라 기업들이 하고 있는 내용들, 평상시 IT계 기본 관행들 이런 부분들이 얘기될 수밖에 없기 때문에 판결이 실제로 진행되지 않으면 알 수 없는 지점들이 있습니다. 세 번째 판결이 그런데요.
■ 세 번째 판례 '2012년에 발생한 KT 개인정보 유출'
2021년 kt 판결입니다. 그때 재판부는 뭐라고 했느냐? 이전의 판결을 그대로 원용을 하며, '사회통념상 합리적으로 기대 가능한 보호 조치를 했으면 면책이 될 수 있는데, 그 보호 조치의 신종 해킹에 대한 방어 조치까지는 해당이 되지 않는다'라고 얘기합니다. 그럼 무엇을 신종 해킹으로 봐야 할까요? 이런 부분들은 정말로 내밀하게 내용을 살펴보지 않은 한 결론을 낼 수 없는 부분입니다. 따라서 SKT가 실제 소송으로 들어갔을 때는 어떠한 보호 조치들을 해 왔고, 이번 해킹이 어떤 종류의 것인지에 따라서 책임의 소재가 달라질 수 있습니다. 즉 기업이 책임을 면책할 수도 있다는 얘기입니다. 혹은 책임의 범주가 좀 줄어들 수도 있고요. 집단 소송을 고려하신다면 참고하여 잘 대응하시기 바랍니다.
로톡의 모든 콘텐츠는 저작권법의 보호를 받습니다.
콘텐츠 내용에 대한 무단 복제 및 전재를 금지하며, 위반 시 민형사상 책임을 질 수 있습니다.