인터넷 쇼핑몰 회원정보 유출 손해배상 소송 기각 판결

2008년 1월경 인터넷 쇼핑몰 '옥션' 서버가 해킹당하여 회원들의 개인정보가 유출되는 사고가 발생했습니다. 이에 피해를 입은 다수의 회원들이 옥션과 보안관제 업체인 인포섹을 상대로 손해배상을 청구했으나, 법원은 옥션이 개인정보 보호에 필요한 사회통념상 합리적인 조치를 취했다고 판단했고 인포섹에게도 과실이 없다고 보아 원고들의 청구를 최종적으로 기각했습니다.

관련 당사자

• 원고들(상고인): 피고 옥션의 상품 중개 서비스를 이용하고 회원으로 가입하여 개인정보를 제공했던 이용자들
• 피고 주식회사 이베이코리아(피상고인): '옥션'이라는 인터넷 오픈마켓 사이트를 운영하며 회원들의 개인정보를 수집·관리했던 정보통신서비스 제공자
• 피고 인포섹 주식회사(피상고인): 피고 옥션의 보안관제 업무를 담당했던 업체

분쟁 상황

2008년 1월 초, 피고 옥션의 웹 서버 중 하나인 이노믹스 서버에 중국인 해커로 추정되는 이들이 초기설정 상태인 아이디와 비밀번호로 접속하여 백도어 프로그램을 설치했습니다. 해커들은 이노믹스 서버에 침입한 후 데이터베이스 서버의 관리자 아이디와 암호화된 비밀번호를 알아내, 2008년 1월 4일부터 8일까지 네 차례에 걸쳐 옥션 회원들의 이름, 주민등록번호, 휴대전화번호, 이메일 주소 등 개인정보를 누출시켰습니다. 이에 피해를 입은 다수의 옥션 회원들이 옥션과 보안관제 업체인 인포섹을 상대로 손해배상 청구 소송을 제기했습니다. 원고들은 옥션이 구 정보통신망법 및 이용계약상 개인정보 보호 의무를 위반했고, 인포섹이 보안관제 업무를 소홀히 하여 해킹 사고를 방지하지 못했다고 주장했습니다.

핵심 쟁점

정보통신서비스 제공자인 옥션이 해킹으로 인한 개인정보 유출에 대해 법률 및 계약상 요구되는 안전성 확보 조치를 충분히 이행했는지 여부와 보안관제 업무를 수행한 인포섹이 해킹 사고를 사전에 방지하지 못한 것에 과실이 있는지 여부가 주요 쟁점이었습니다.

법원의 판단

상고를 모두 기각한다. 상고비용은 원고들이 부담한다.

결론

법원은 피고 옥션이 해킹 사고 당시 사회 통념상 합리적으로 기대 가능한 정도의 보호조치를 다했다고 보아 개인정보 안전성 확보 의무 위반으로 인한 손해배상 책임을 인정하지 않았습니다. 또한 피고 인포섹 역시 보안관제 업무를 소홀히 했다고 보기 어렵다고 판단하여 원고들의 청구를 모두 기각하였습니다.

연관 법령 및 법리

구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(구 정보통신망법) 제28조 제1항에 따르면, 정보통신서비스 제공자는 이용자의 개인정보가 분실·도난·누출·변조 또는 훼손되지 않도록 정보통신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 조치를 해야 할 법률상 의무를 가집니다. 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙(구 정보통신부령) 제3조의3 제1항은 개인정보 안전성 확보에 필요한 기술적·관리적 조치로 내부관리계획 수립, 침입차단시스템 등 접근통제장치 설치·운영, 접속기록 위조·변조 방지, 암호화 기술 등을 이용한 보안조치, 백신소프트웨어 설치·운영 등을 명시하고 있습니다. 또한, 구 정보통신부령의 위임을 받아 마련된 '개인정보의 기술적·관리적 보호조치 기준(정보통신부 고시)'은 정보통신서비스 제공자가 준수해야 할 구체적인 보호조치를 규정하며, 이 고시에서 정한 보호조치를 다했다면 특별한 사정이 없는 한 의무를 위반했다고 보기 어렵습니다. 정보통신서비스 이용계약상의 의무로서도 정보통신서비스 제공자는 이용자로부터 수집한 개인정보 등이 안전하게 보호되도록 해야 합니다. 손해배상 책임 판단의 기준은 정보통신서비스의 '개방성'과 해킹 기술의 발전을 고려할 때 완벽한 보안은 현실적으로 어렵다는 점을 감안합니다. 따라서 서비스 제공자가 법률 및 계약상 의무를 위반했는지 여부는 해킹 사고 당시 보편적으로 알려진 정보보안 기술 수준, 서비스 제공자의 업종·규모, 전체적인 보안 조치의 내용, 경제적 비용 및 효용, 해킹 기술 수준, 개인정보의 내용 및 유출로 인한 피해 정도 등을 종합적으로 고려하여 '사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지'를 기준으로 판단합니다. 특히 주민등록번호 암호화 의무의 경우, 당시 법령(2008년 당시의 고시)에서는 본인 인증 정보에 해당하지 않아 암호화 저장 의무가 없었으며, 2010년 1월 28일 시행된 정보통신망법 시행령 개정을 통해 비로소 주민등록번호 암호화 저장 규정이 신설되었습니다. 따라서 사고 당시 암호화하지 않았다고 해도 의무 위반으로 보기 어렵다는 법리가 적용되었습니다.

참고 사항

온라인 서비스 이용 시, 개인정보 유출에 대한 완벽한 방지는 어렵다는 점을 인지해야 합니다. 서비스 제공자의 보호 노력과 함께 개인 사용자도 비밀번호를 주기적으로 변경하고 복잡하게 설정하는 등 기본적인 보안 수칙을 지키는 것이 중요합니다. 서비스 제공자가 관련 법령에서 정하는 기술적·관리적 보호조치를 충실히 이행했는지 여부가 손해배상 책임 판단의 중요한 기준이 됩니다. 단순히 해킹으로 인한 정보 유출이 발생했다고 해서 무조건 서비스 제공자에게 책임이 있다고 보기는 어렵습니다. 기업은 해킹 사고 당시의 기술 수준, 업종 및 영업 규모, 취하고 있던 보안 조치의 내용, 경제적 비용 및 효용 등을 종합적으로 고려하여 사회통념상 합리적으로 기대 가능한 수준의 보안 조치를 해야 합니다. 주민등록번호와 같은 민감한 정보의 암호화 의무는 법령 개정 시점을 기준으로 적용됩니다. 과거에는 암호화 의무가 없었던 경우도 있어, 사고 당시의 법률 및 고시 내용을 확인하는 것이 중요합니다. 보안관제 업체의 책임은 해당 업체가 계약상 의무를 소홀히 했는지, 또는 당시의 기술 수준에서 기대 가능한 조치를 취했는지 여부에 따라 판단됩니다.