SK커뮤니케이션즈(SK컴즈)의 직원이 사용하고 있던 서버에 DB 관리자 아이디로 접속해 개인정보를 파일로 생성해 압축하는 방식으로 해킹을 한 것이다.
유출된 개인정보에는 아이디와 비밀번호, 주민등록번호, 성명, 생년월일, 이메일 주소, 전화번호, 주소가 포함돼 있었다. 일부 회원들의 경우에는 혈액형과 닉네임 등도 유츌되는 피해를 입었다.
해킹 사건이 알려진 이후 SK컴즈에 회원으로 가입한 사람들 중 일부가 SK컴즈 등을 상대로 손해배상청구 소송을 제기했다.
소송의 승패는 법원이 SK컴즈가 기술적·관리적 보호조치와 보안조치의무 등을 제대로 이행했는 지에 대해 서로 다른 판단을 내리면서 엇갈렸다.
해킹 사고 이후 진행된 수많은 법정 소송에서 법원은 대부분 기업측의 손을 들어줬다. SK컴즈가 법령에서 정한 기술적·관리적 보호조치와 보안조치 의무 등을 이행했다는 판단에서다.
이런 상황에서 최근 항소심 재판부가 SK컴즈의 책임을 인정하는 첫 판결을 내놓으면서 법조계 안팎의 큰 파장을 뿌렸다.
대구지법 민사3부(재판장 김현환)는 유능종 변호사가 "개인정보 유출에 대한 위자료를 지급하라"며 SK컴즈를 상대로 낸 소송의 항소심에서 1심과 같이 "SK컴즈는 위자료 100만원을 지급하라"고 판결했다.
재판부는 "SK컴즈가 3,495만여명의개인정보를 수집하고 있었음에도 침입탐지시스템 등을 제대로 갖추지 않아 대용량의 개인정보가 파일로 생성되고 외부로 유출되는 것을 탐지하지 못하고, 개인정보 접근권한이 있는 컴퓨터에서 보안상 취약한 공개용 알집을 사용해 개인정보를 보호할 의무를 소홀히 해 해킹사고를 방지하지 못했다"고 판단했다.
이어 "해킹 사고 이후 유출된 개인정보가 거래되거나 전파되고 있을 수 있다는 불쾌감은 물론 주민등록번호를 대체할 다른 개인식별 수단이 마련되지 않는 이상, 앞으로도 추가 피해 발생에 대한 불안감 등의 심리적·정신적 고통을 겪어야 하는 점 등을 감안하면 SK컴즈는 손해 배상 의무가 있다"고 설명했다.
항소심 재판부의 판결은 SK컴즈의 책임을 인정한 1심 재판부의 판단을 그대로 받아 들인 것이다. 그러나 1심에서는 SK컴즈측이 서울에서 유사 사건이 진행 중인 점을 감안해 제대로 변론을 하지 않으면서 원고가 쉽게 승소 할 수 있었던 것으로 알려졌다. 항소심 재판에서 SK컴즈는 손해배상 책임이 없다는 점을 강력히 주장하면서 원고와 치열하게 맞섰고, 결국 재판부는 원고의 손을 들어줬다.
이같은 항소심 판결에도 불구하고 하급심에서는 여전히 SK컴즈의 책임을 인정하지 않은 판결이 더 많은 편이다.
SK컴즈의 책임을 인정하지 않은 것은 SK컴즈가 보안이 취약한 공개용 알집 프로그램을 사용한 것에 대해 "기업용 알집 프로그램을 사용했더라도 이 사건 해킹 사고를 막을 수 없었을 가능성을 배제할 수 없다"고 판단한 때문이다.
또 보호조치 의무를 위반했다는 주장에 대해서도 SK컴즈가 개인정보보호 업무지침서를 작성해 다양한 방법의 보호조치를 취하고 있는 점, 외부에서 개인정보관리시스템에 접근하는 경우 가설사설망(VPN)을 통해 접근하도록 한 점, 안철수연구소 등과 개인정보시스템에 대한 침입차단시스템 또는 침입탐지시스템 설치, 유지보수, 증설계약 등을 체결해 침입차단시스템과 침입탐지시스템을 설치·운영하고 있었던 점 등을 고려할 때 SK컴즈가 보호조치 의무를 위반했다고 보기 어렵다고 보고 있다.
아울러 개인정보처리시스템에 대한 접속 권한을 아이피 주소 등으로 제한해 인가받지 않은 접근을 제한하는 방화벽을 설치하는 방법으로 침입차단시스템과 침입 차단시 개인정보처리시스템에 접속한 아이피 주소 등을 재분석해 불법적인 개인정보 유출시도를 탐지하도록 하는 침입탐지시스템을 설치·운영하고 있다는 이유로 불법 접근 탐지·방지를 위한 시스템 설치와 운영에 관한 보호조치 의무를 위반하지 않았다고 판단했다.
원고의 손을 들어준 항소심 판결이 처음으로 나왔지만 하급심의 판결이 엇갈리면서 대법원 판결이 나오기 전까지는 재판부의 판단에 따라 일희일비하는 상황이 이어질 것으로 전망된다.
SK컴즈가 항소심 판결에 불복해 대법원에 상고하면서 그간의 엇갈린 하급심 판결로 인한 혼란은 대법원 판결 이후 줄어들 것으로 예상된다. 특히 해킹으로 인한 개인정보 유출에 대한 대법원 판례가 아직 없었던 점을 감안하면 대법 판결은 현재 진행 중인 SK컴즈 사건의 기준이 될 것으로 전망된다. 아울러 최근 발생한 카드사의 해킹 이후 진행 중인 소송에도 적지 않은 영향을 미칠 것으로 보인다.
SK컴즈 소송에서 1·2심 첫 승소 판결을 받아 낸 유능종 변호사는 "이제까지 대법원에서 해킹으로 인한 개인정보 유출에 대한 최종 판단을 내린 적이 없어 대법원에서 최초의 판결이 내려지면 현재 진행 중인 유사 사건들에도 가이드라인으로 작용할 것으로 보인다"고 말했다.