2008년 1,800만명에 가까운 가입자의 개인정보가 해킹으로 빠져나간 옥션의 경우 14만명의 피해자가 옥션을 상대로 낸 손해배상 청구소송에서 1심 재판부는 사업자의 과실, 주의 의무 위반 책임을 인정하지 않았다.
당시 재판부는 "개인정보 유출이 정보를 보관하는 기업의 고의 또는 과실로 이뤄진 것이 아니라 외부 해킹에 의한 것"이라며 사업자의 과실 책임 인정은 "해킹사고 방지를 위해 취해야 할 기술적ㆍ관리적 조치 의무를 위반했을 경우에 한한다"고 판단했다.
역시 1,000만명의 개인정보가 유출된 GS칼텍스 사건에서도 피해자 2만8,000여명이 GS칼텍스를 상대로 민사소송을 냈지만 사업자의 과실, 주의 의무 위반 책임은 인정되지 않았다.
그러다 4월 개인정보 유출에 대한 사업자의 책임을 인정한 첫 사례가 나왔다. 싸이월드ㆍ네이트 정보 유출 피해자에 대한 민사소송에서 대구지법 김천지원 구미시법원이 사업자의 과실을 인정한 것이다.
재판부가 지적했던 점은 사업자인 SK컴즈가 암호화 조치를 제대로 시행하지 않았다는 사실이다. 개인정보를 보호하는 데 필수적인 조치에 대해 소홀한 점이 발견돼 정보통신법상 사업자의 주의 의무를 다하지 않았다고 판단한 것이다.
구미시법원의 판결 이전에도 피해자가 소송을 걸어 승소한 경우가 없지는 않다. 고객 동의 없이 개인정보를 텔레마케팅업체에 넘기는 등 상업적으로 이용해 물의를 일으킨 바 있는 SK브로드밴드(옛 하나로텔레콤) 사건과 관련해 피해자들이 낸 손해배상 청구소송에서도 지난해 재판부가 일부 원고의 손을 들어준 바 있다.
그러나 이 사건의 경우 주로 쟁점이 됐던 것은 개인정보 이용 또는 제공시 고객의 동의를 얻었는지, 동의를 얻었다 하더라도 이를 사업자가 어느 범위까지 이용 또는 제공할 수 있는지 등이었다.
이처럼 사업자의 과실 책임 인정 여부가 쟁점으로 부각될 것으로 전망되지만 재판부마다 판단이 다르고 또 재판이 계속 진행 중이어서 결과를 알 수 있는 데는 시간이 걸릴 것으로 보인다. 이번 KT 개인정보 유출사건과 관련해 피해자들이 회사에 법적 책임을 묻는 경우도 비슷한 과정을 거칠 것으로 보인다.
한 변호사는 "KT가 정보 유출이 된 사실을 5개월간 몰랐다고 하지만 몰랐더라도 주의 의무 위반은 인정될 소지가 있다"며 "다만 경찰의 공식적인 수사 결과가 나오고 사건이 어떻게 진행될지 지켜볼 필요가 있다"고 말했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
