대법 "옥션, 2008년 해킹 개인정보 유출 배상책임 없어”

회사가 법적으로 필요한 조치를 다 했다면 해킹으로 개인정보가 유출됐어도 책임을 물을 수 없다는 대법원 첫 판결이 나왔다. 이번 대법원 판례는 향후 유사 소송에 영향을 미칠 것으로 전망된다.
대법원 1부(주심 고영한 대법관)는 개인정보 유출 피해자 3만4000여명이 인터넷 오픈마켓 '옥션'의 운영업체 이베이코리아와 보안관리업체 인포섹을 상대로 낸 손해배상 소송 상고심에서 원고 패소한 원심을 12일 확정했다.
중국인으로 추정되는 해커 일당은 2008년 1월 옥션의 웹서버를 네 차례 침입했다. 이들은 옥션 회원들의 이름과 주민번호 주소 연락처 계좌번호 등 1080만7471명의 개인정보를 해킹했다. 이후 계속된 경찰 수사에서 옥션 회원 전체의 개인정보가 유출된 사실이 추가로 확인됐다.
피해자들은 "옥션이 회원들의 개인정보가 분실·도난·누출·변조되지 않도록 개인정보를 보호·관리하고 필요한 기술적 조치를 다 해야 했음에도 이 같은 주의의무를 다 하지 않아 해킹 사고가 일어났다”며 "1인당 200만원씩을 배상하라”고 소송을 제기했다.

피해자들은 "옥션이 방화벽을 설치하지 않았고 주민번호를 암호화 하지도 않았다”고 주장했지만 1심부터 패소했다. 하급심은 "옥션은 웹방화벽을 도입하는 대신 웹서버 보안대책으로 화이트 해커들이 만든 취약점 스캐너를 통해 취약점을 점검·제거했고, 서버 운영체제에 대한 보안 프로그램의 지속적인 업데이트 등을 했다”며 "웹방화벽을 설치하지 않았더라도 옥션이 주의의무 위반이 있다고 할 수 없다”고 피해자들의 주장을 받아들이지 않았다.
대법원도 "해킹의 수법이나 당시의 보안기술 수준, 옥션이 취하고 있던 전체적인 보안 조치의 내용과 수준 등 여러 사정을 고려하면 개인정보의 안전성 확보에 필요한 보호 조치를 취해야 할 의무를 위반했다고 보기 어렵다”며 "이 같이 판단한 원심은 정당하다”고 판시하며 원심을 확정했다.
[김세웅 기자]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]