[디지털데일리 이민형기자] 해킹으로 사상 최대규모인 3500만명의 개인정보를 유출시킨 SK커뮤니케이션즈가 피해자들이 제기한 대규모 집단소송에서 처음 패소했다.
15일 서울서부지방법원 재판부는 개인정보유출 피해자들이 SK컴즈를 상대로 열린 손해배상 청구 소송에서 “20만원의 위자료를 지급하라”며 원고 승소 판결했다.
지난해 11월 앞서 열린 개인정보유출 피해자 집단소송에서 서울중앙지법 재판부가 SK컴즈의 “배상 책임이 없다”며 원고 패소 판결한 결과가 완전히 뒤집어졌다.
이날 서울서부지법 민사12부 배호근 부장 판사는 “SK컴즈는 3500만명의 개인정보가 유출됨을 인지하지 못한 점, 로그아웃을 하지 않고 PC를 방치해 둔 점, 공개형 알집SW를 사용한 점이 과실로 인정된다”며 “피고 SK컴즈는 원고 2882명에게 각각 20만원의 위자료를 지급하라”고 말했다.
재판부에서 지적한 SK컴즈의 과실은 크게 세가지다.
먼저 3500만명의 개인정보가 10기가바이트(GB)의 파일로 유출됐음에도 불구하고 이를 탐지하지 못한 점이 가장 큰 과실로 지적됐다. 원고측 주장에 의하면 SK컴즈는 W사의 데이터유출방지(DLP) 솔루션을 구축했음에도 불구하고 이를 제대로 활용하지 않았다.
또 이스트소프트의 공개형 알집을 SK컴즈에서 사용한 것도 과실로 지적됐다. 기업용 알집을 사용했다면 해킹당하지 않았을 것이라는 판결이다.
배 부장 판사는 “10기가라는 대용량의 파일이 수많은 PC와 내부망을 거쳐 외부로 유출됐음에도 불구하고 피고는 이를 인지하지 못했다”며 “공개형 알집 업데이트 서버는 상시로 연결돼 있다. 이는 악성코드에 취약하다는 것을 의미하며, 피고가 기업용 알집을 사용했을 경우에도 해킹이 일어났다고 보긴 힘들다”고 강조했다.
아울러 밤샘작업을 이유로 개인정보DB에 접근권한을 가진 아이디를 로그아웃 하지 않고 운영한 것도 과실로 지적됐다.
배 부장 판사는 “피고측 직원이 작업을 이유로 로그아웃하지 않고 퇴근한 점, 자동로그아웃을 설정하지 않은 점이 과실로 인정된다”며 “이러한 일련의 행위는 피고가 개인정보보호 의무에 소흘했다는 것을 의미하다”고 재차 강조했다.
이어 “개인정보유출이 원고들의 재산상 피해를 입혔다는 입증자료는 없으나, 개인정보가 회수되지 않았기 때문에 위자료 지급 책임을 면할 수 없다”고 덧붙였다.
이번 사건을 담당한 법률사무소 민후의 김경환 변호사는 “개인정보유출이라는 중대한 사안을 제대로 판결해준 재판부에 감사드린다”며 “개인정보는 재산이라는 대중적 인지도 향상을 위해 노력할 것”이라고 소감을 전했다.