[디지털데일리 이유지기자] 해킹으로 인한 개인정보 유출 사건에 법원이 사업자의 손해배상 책임을 인정한 첫 사례가 나왔다.
3500만명의 회원 개인정보를 유출한 SK커뮤니케이션즈(SK컴즈)의 네이트·싸이월드 해킹 사건과 관련해 대구지방법원 김천지원 구미시법원이 내린 판결이다. 법원은 지난 26일 회원인 유능종 변호사가 단독으로 SK컴즈를 상대로 제기한 손해배상 청구 소송에서 위자료 100만원을 지급하라고 판결했다.
사실 의외의 시점에 나온 예상 밖의 법원 판결이다. 경찰 수사가 종료되지 않았기 때문이다. 다른 집단소송은 재판이 연기된 상태였다. 또 당초 SK컴즈가 법적 보호조치 의무 소홀로 인한 과실 책임을 인정받기는 어려울 것이란 예측이 많았던 것도 사실이다.
이 사건을 수사했던 경찰은 지난해 중간수사 결과를 발표하면서 ‘외부해킹에 의해 SK컴즈의 고객정보만을 노린 정교한 표적공격’이라는 결론을 내린 바 있다. 이 사건 이후로 국내에서는 APT(지능형지속가능위협) 공격의 위험성이 크게 부각됐다.
앞서 해킹으로 대규모 고객정보를 유출한 첫 사례로 꼽히는 이베이옥션의 1심 판결 결과도 이같은 해석을 내리는데 지대한 영향을 미쳤다.
개인정보 유출 피해자들이 옥션을 상대로 제기한 집단소송에서 서울중앙지법은 지난 2010년에 법적 과실이 없어 손해배상 책임이 없다는 판결을 내렸다. 결국 옥션은 해킹을 막지 못해 도의적인 책임은 있지만 보안조치 등 법적인 보호의무를 다했다는 점을 인정받아 배상책임에선 벗어났다.
법원의 이번 판결은 회원 개인정보를 보호하지 못한 사업자들의 도의적 책임만이 아니라 과실에 따른 법적 책임이 인정되는 기점이 될 지 주목된다.
그래서 현재 진행 중인 수십 건의 개인정보 유출 사고 관련 집단소송 결과에 더욱 관심이 모아진다.
이번 판결로 인한 여파는 일단 SK컴즈 해킹 사고 관련 집단소송 참여자가 불어나는 결과로 나타나고 있다. 이번에 승소한 유능종 변호사도 새롭게 집단소송을 준비하며 참여자를 모으고 있다.
1300만명의 개인정보를 유츨한 넥슨 메이플스토리 해킹 사건은 이미 경찰 수사단계에서 사업자 개인정보보호 법적의무 소홀로 과실이 인정되는 방향으로 전개됐다. 이에 따라 최근 서민 대표와 정보보호책임자(CPO), 보안팀장이 함께 정보통신망법상 보호조치 의무 위반 혐의로 불구속 입건됐다.
옥션 사건의 경우에도 아직 법적 공방이 남아있다. 2심(항소심)이 아직 진행 중이라, 향후 1심 결과가 뒤집어질 가능성도 배재할 수 없는 상황이다.
SK컴즈의 입장에선 이번 판결에 항소를 제기할 수밖에 없을 것이다. 소를 제기했던 피해자에게 100만원을 위자료로 지급하고 끝날 문제가 아니기 때문이다. 이를 산술적으로 개인정보 유출 회원 수인 3500만명에 적용해보면 35조원이라는 엄청난 금액이 나온다.
지난해 SK컴즈의 매출액이 2621억원, 당기순이익이 42억원이니, 감당하기 힘든 수치다. 더욱이 SK컴즈는 이미 심각한 위기에 몰려 있다. 옥션이나 넥슨보다 개인정보 유출 사고로 인한 충격파가 더욱 큰 것 같다.
트위터, 페이스북, 카카오톡 등 새로운 소셜네트워크서비스가 등장해 두드러지게 성장하고 있는 반면에, SK커뮤니케이션즈의 서비스는 부진을 면치 못하고 있다. 싸이월드의 경우, 지난해 7월 말 개인정보 유출 사건이 발생한 직후부터 방문자나 이용자 급감 추세가 더욱 심해졌다.
지난해 4분기에는 적자실적을 나타냈고, 2011년 전체 영업이익(54억원)도 77.9%나 하락했다. 올해 1분기 실적도 적자가 예상되고 있고, 이번 판결이 나온 이후 주가도 뚝 떨어졌다.
그간의 침체를 털어내기 위해 새로운 대표를 선임, 조직개편을 하고 신규 서비스로 새로운 도약을 준비하던 시점에 이번 판결이 나왔다. 위기 상황에서 개인정보 유출 사고가 더욱 발목을 잡는 모양새다.
5~6년 전 미비한 정보보호 인식에 경각심을 불러일으키기 위해, 그리고 해킹·개인정보 유출 사고 위험성을 강조하면서 기업이 ‘돌연사’할 수 있다고 경고했던 보안 전문가들의 이야기가 새삼 떠오른다.