지난해 7월 네이트와 싸이월드를 운영하는 SK커뮤니케이션즈의 3500만명 개인정보 유출사건과 관련해 사업자가 책임이 있다는 첫 판결이 나와 이후 해킹 판결의 향배에 관심이 모아지고 있다.
대구지법 구미시법원의 임희동 판사는 지난 26일 네이트·싸이월드 회원인 유능종(47) 변호사가 SK컴즈를 상대로 낸 손해배상금 소송에서 “유씨에게 위자료 100만원을 지급하라”고 판시했다. 만약 이번 판결 이후 정보 유출 피해를 입은 3500만명이 소송에 참여해 손해 배상 판결이 내려진다면 산술적으로 SK컴즈는 약 35조원에 가까운 손실을 볼 수 있다.
SK컴즈 측은 “현재 진행 중인 경찰 수사를 지켜본 뒤 판결하기를 요청했지만 이런 판결이 나와 아쉽다”면서 “내용을 검토한 후 3~4일 뒤 항소를 포함한 향후 대응 방안을 결정할 예정이”이라고 밝혔다.
하지만 현재 SK컴즈를 상대로 1400여명 규모의 피해자들이 집단소송을 제기한 상태기 때문에 다른 소송들에도 영향을 줄 것으로 보인다. 또 법무법인 주도로 다른 해킹 피해자들이 소송을 제기할 경우 이른바 줄소송으로 이어질 가능성도 있다. 지난해 해킹으로 고객 개인정보를 유출 당한 넥슨과 현대캐피탈도 판결의 영향에 촉각을 곤두세우고 있다.
하지만 다른 피해자들이 낸 소송에서도 이번과 같은 결과가 나올 것이라고 예단하긴 어렵다는 것이 업계의 중론이다.
지난 2008년 인터넷 쇼핑몰 옥션이 해킹당하면서 고객 정보가 무더기로 유출된 사건이 발생해 14만여명이 손해배상 청구소송을 냈으나 법원은 옥션이 관련법에 정해진 기준을 어겼다고 볼 근거가 없다며 옥션의 손을 들어줬다. 이는 법에 정해진 보안 수준을 유지한 상황에서 해킹을 당한 것은 고도화된 해킹 기법상 불가항력이라는 판단에서 나온 것이다.
또 기업에 해킹 피해의 배상의무를 지우는 판례가 이어진다면 개인정보를 보유한 기업들이 해킹을 당하더라도 자진신고 하지 않고 ‘쉬쉬’ 할 것이라는 우려도 나오고 있다.
현행 개인정보보호법상 기업은 보안사고 발생 후 ‘지체 없이’ 신고해야 하고 이를 어길 경우 3000만원 이하의 과태료에 처하지만 기업 내부에서 로그 기록 삭제 등으로 해킹을 당한 흔적을 지워버리면 외부에서 해킹 사실을 알 수 있는 방법이 사실상 없다.
따라서 기업이 브랜드 이미지 하락과 고객들의 충성도 저하, 회원들의 개인정보 침해에 대한 손해까지 감수하면서 자진신고를 할리 만무하다는 것이다.
인터넷업계 한 관계자는 “해킹 기술은 점점 진화되고 있고 기업이 보안 의무를 다했음에도 해킹을 당한 것까지 책임을 져야 하는 것은 너무 불합리하다”면서 “자진 신고를 하지 않으면 사실상 외부에서 알 수 없는 상황에서 신고를 하지 않는 기업이 나올 가능성이 있다”고 말했다.