이번 판결은 불가항력적 외부침입을 막기 어려운 특수성을 인정해 업체 측에 배상 책임을 묻지 않은 대법원의 첫 판결로 앞으로 유사 소송에도 영향을 줄 것으로 예상된다.
대법원 1부(주심 고영한 대법관)는 12일 간모씨 등 옥션 고객 2만2,651명이 "개인정보 유출로 피해를 봤다"며 옥션을 운영하는 이베이옥션과 보안관리 업체 인포섹을 상대로 낸 손해배상 청구 소송 상고심에서 원고 패소 판결한 원심을 확정했다. 강모씨 등 다른 피해자 1만566명이 제기한 다른 3건의 소송에 대해서도 대법원은 옥션의 배상 책임을 인정하지 않았다.
재판부는 "옥션 해킹의 경우 그 수법이나 당시 보안기술 수준, 옥션이 취했던 보안 조치의 내용과 수준 등을 고려하면 옥션이 '기술적·관리적 조치를 취해야 할 의무'나 '개인정보의 안전성을 확보하기 위해 필요한 보호 조치를 해야 할 의무'를 위반했다고 보기 어렵다"고 판시했다.
이어 "정보통신 서비스는 개방성을 특징으로 하는 인터넷을 통해 이뤄지고 서비스 제공자가 구축한 네트워크나 시스템, 그 운영체제 등은 불가피한 취약점을 갖는다"며 "이로 인해 해커의 불법적인 침입에 노출될 수밖에 없고 완벽한 보안을 갖춘다는 것도 기술발전 속도 등을 고려할 때 쉽지 않아 보인다"고 설명했다.
옥션은 2008년 1월 중국인 해커로부터 1,800만명에 이르는 회원들의 이름·주민등록번호·주소·전화번호·아이디·계좌번호 등 개인정보를 해킹당했다. 이에 옥션 고객 14만6,000여명은 이베이옥션 등을 상대로 사상 최대 규모의 집단소송을 냈다.
1·2심 재판부는 "해킹 사고 당시 근본적으로 이 사건 해킹을 막지 못한 아쉬움이 일부 있지만 당시 옥션이 취하고 있던 각종 보안 조치, 해킹 방지 기술의 발전 상황 및 해킹 수법 등에 비춰 옥션에 과실이 있다고 보기 어렵다"며 옥션의 손을 들어줬다.
대법원의 한 관계자는 "이번 판결은 제3자의 해킹으로 정보통신 서비스 제공자가 보유하고 있던 개인정보가 유출된 사건에서 정보통신 서비스 제공자가 이용자의 개인정보가 도난·누출되지 않도록 안전성 확보에 필요한 보호 조치를 취해야 할 법률상 또는 계약상 의무를 위반했는지를 판단하는 기준을 처음으로 제시한 판결"이라고 밝혔다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
