[쿠키뉴스=김현섭 기자] 2008년 국내에서 처음으로 ‘1000만 명’ 단위의 개인정보가 유출돼 파문이 컸던 인터넷 오픈마켓 ‘옥션’의 회원정보 유출 사고와 관련해 회사의 손해배상 책임이 없다는 대법원 판결이 나왔다. 사고 당시의 회사 과실이나 위법이 인정되지 않는다는 것이다.
이번 판결은 개인정보 유출 피해자들이 해킹으로 정보를 도난당한 정보통신서비스 제공자를 상대로 제기한 소송에 대한 첫 대법원 확정 판결이다. 유사 소송에 미칠 영향이 주목된다.
대법원 1부(주심 고영한 대법관)는 12일 개인정보 유출 피해자들이 “1인당 200만원씩 지급하라”며 옥션 운영자인 이베이코리아와 보안관리업체 인포섹을 상대로 낸 소송의 상고심에서 원고 패소로 판결한 원심을 확정했다.
앞서 2008년 1월 중국인 해커로 추정되는 이들은 옥션의 웹서버에 네 차례 침입해 이름, 주민등록번호, 주소, 연락처, 계좌번호 등 1080만7471명의 개인정보를 유출했다. 당시 유출 피해자가 1000만 명을 넘어서는 건 국내 유사 사고 역사상 처음이었다.
일부 피해자들은 소비자분쟁조정위원회를 통해 1인당 5만∼10만원을 지급받기로 회사 측과 조정했지만, 일부 피해자들은 여러 건의 공동 소송을 제기했다. 역사상 가장 많은 수인 14만6601명이 소송에 참여했다.
이들은 소송에서 옥션이 개인정보를 유출시키지 않도록 기술적 조치를 다할 의무가 있는데도 이를 이행하지 않아 해킹을 당했고, 개인정보가 도용될지 몰라 정신적 고통을 당했다고 주장했다.
1·2심은 “사고 당시 옥션의 보안 조치, 해킹 방지 기술의 발전 상황, 해킹 수법 등을 고려할 때 옥션 운영자와 보안관리업체에 과실이 있다고 보기 어렵다”며 원고 패소로 판결했다.
피해자들은 옥션이 방화벽을 설치하거나 주민번호를 암호화하지 않았고 악성코드 설치 사실을 알고도 조치를 하지 않아 배상 책임이 있다고 주장했으나 당시 법령상 위법이 아니라는 이유로 인정되지 않았다.
대법원은 “옥션이 옛 정보통신망법에서 정한 조치를 취해야 할 의무나 정보통신서비스 이용계약에 따른 안전성 확보에 필요한 조치를 취해야 할 의무를 위반하지 않았다”며 원심 판단을 유지했다.
대법원 관계자는 “제3자의 해킹으로 개인정보가 유출된 경우 정보통신서비스 제공자의 법률상·계약상 의무 위반에 관한 기준을 처음 제시한 판결”고 의미를 부여했다.
대법원은 이날 옥션 개인정보 유출 사고와 관련한 손배소송 4건의 상고심에 대해 잇따라 선고하면서 모두 회사의 배상 책임을 인정하지 않았다. 4건에 원고로 참여한 피해자는 3만3217명에 달했다. afero@kmib.co.kr