네이트-싸이월드 해킹 집단소송에서 처음으로 피해자 승소 판결이 나온 배경에는 법원이 기업의 개인정보 보호 ‘주의의무 소홀’ 사실을 인정했다는 점이 결정적으로 작용했다. 이전의 정보유출 소송에서 대부분 주의의무 소홀이 인정되질 않아 피해자가 패소했다는 사실을 감안하면 이번 판결이 앞으로 예정된 다른 소송 결과에도 영향을 미칠 것으로 예상된다.
법조계 관계자는 “사법부가 기업의 ‘보안 불감증’에 제동을 걸기 시작했다고 볼 수 있다”면서 “앞으로 유사 집단소송이 줄을 이을 것으로 보인다”고 말했다.
이번 판결에서 서부지법은 SK커뮤니케이션즈가 개인정보 보호 조치를 제대로 이행하지 않았다고 판단했다. ‘기업이 개인정보를 보호할 의무를 다했는가’라는 관점은 네이트-싸이월드 해킹 소송뿐만 아니라 이전의 옥션, SK브로드밴드(옛 하나로텔레콤) 같은 정보유출 소송에서도 핵심 쟁점이었다.
지난해 11월에 서울중앙지법에서 나왔던 집단소송 패소 판결에서는 업체 과실은 인정되지 않았다. 당시 재판부는 “SK컴즈는 해킹이 이뤄진 당시 정보통신망법상 정한 기술ㆍ관리적 보호조치를 이행했으며 의무를 다하지 않아 해킹사고를 막지 못했다고 볼 수 없다”고 판단했다. 그러나 서부지법 재판부는 “SK컴즈 탐지 시스템이 (유출 과정을) 전혀 감지하지 못했다”고 봤다.
SK컴즈가 상대적으로 보안이 취약한 공개형 프로그램을 사용했다는 데 대해서도 서울중앙지법은 “공개용 무료 프로그램을 사용해 저작권법을 위반한 것과 피해자들의 손해 발생 사이에는 인과관계가 없다"고 판시한 반면 서부지법은 “공개용 프로그램을 써 해킹을 용이하게 했다”고 판시했다.
다만 서부지법 재판부는 이스트소프트와 시만텍코리아, 안랩 등 보안프로그램 업체의 주의의무 위반에 대해서는 “(이스트소프트의) 알집 업데이트 서버가 변조돼 악성 프로그램이 생겨 개인정보가 유출됐다는 사정은 인정된다”면서도 “이것이 해킹에 이용됐다는 이유만으로 대량 개인정보 유출과 상당한 인과관계가 있다고 보기 어렵다"고 밝혔다. 이 부분에 대한 판단은 서울중앙지법 판단과 유사하다.
지난 2011년부터 옥션, 넥슨 등 정보기술(IT) 기업의 잇단 개인정보 유출 사고에서 법원은 대부분 해당 기업의 손을 들어줬다. 기업이 법에서 규정한 기술ㆍ관리적 책임 의무를 다했다고 판단한 경우 더 이상의 책임은 지우지 않았던 것이다.
IT업계에서는 이번 판결로 당장 다른 기업의 정보유출 소송에 영향을 줄 지가 초미의 관심사로 떠올랐다. 2011년 8월과 11월 발생한 한국엡손과 넥슨에서도 개인정보가 새어나가 현재 관련 소송이 진행 중이다. 지난해 9월 KT에서 873만명의 정보가 유출된 것에 대해서도 소송이 진행되고 있다.
법조계는 이번 승소가 유사 소송을 잇게 하는 기폭제 역할을 할 것이라는 분석을 내놓고 있다. 이번 소송을 담당한 김경환 변호사는 "종래 개인정보 유출 사건과 관련해 기업의 과실을 인정한 판결”이라며 “관련 소송이 이어질 것"이라고 내다봤다. 최근 대형 법무법인들은 개인정보 유출 관련 기업을 상대로 한 집단소송에 적극적으로 뛰어들고 있는 점도 유사소송을 부추기는 요인으로 꼽힌다.