‘판례’란 법원이 특정 소송에서 법을 적용하고 해석해서 내린 판단입니다. 법원은 이 판례를 유사한 종류의 사건을 재판할 때 중요한 참고자료로 활용합니다. IT 분야는 기술의 발전 속도가 이를 뒷받침하는 제도의 속도보다 현저히 빠른 특성을 지녀 판례가 비교적 부족합니다. 법조인들이 IT 관련 송사를 까다로워하는 이유입니다. 하지만 디지털 전환을 거치며, IT 분야에도 참고할 만한 판례들이 속속 쌓이고 있습니다. IT동아는 법무법인 주원 홍석현 변호사와 함께 주목할 만한 IT 관련 사건과 분쟁 결과를 판례를 통해 살펴보는 [그때 그 IT] 기고를 격주로 연재합니다.

‘네이트·싸이월드 해킹 사건 판례’로 살펴본 개인정보 유출에 따른 사업자의 손해배상책임 판단기준 (대법원 2018. 1. 25. 선고 2015다24904 판결)

“귀하의 개인정보가 유출되었습니다.”

개인정보 유출을 알리는 통지만큼 불쾌감을 주는 문구도 드뭅니다. 실제 금전 피해로 이어지는 사례는 많지 않아도 내 이름과 주소, 전화번호 등의 개인정보가 인터넷에 떠돌고 있다는 것에 민감하게 반응할 수밖에 없습니다. 사업자 입장에서도 개인정보 유출사고가 발생하면 금전적인 손해 배상도 문제지만 기업 이미지가 심각하게 손상되기 때문에 개인정보 관리에 주의를 기울입니다.

그럼에도 개인정보 유출사고는 매년 발생하고 있습니다. 최근까지도 LG유플러스가 29만명에 달하는 고객 개인정보가 유출됐다고 밝혀 홍역을 치르는 중입니다. 정확한 개인정보 유출 시점과 경위 등을 조사하고 있으나, 피해자들은 LG유플러스 측이 피해 보상안을 마련해야 한다고 목소리를 높이고 있습니다. 과연 LG유플러스는 개인정보 유출에 따른 피해를 보상해야 할까요?

개인정보 보호법상 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치(이하 ‘개인정보 안전성 확보조치’)를 해야 할 의무를 지닙니다(개인정보 보호법 제29조). 만약 개인정보처리자가 안전성 확보에 필요한 조치를 다하지 않아 개인정보 유출사고가 발생했다면, 피해자들에게 그에 따른 손해를 배상해야 합니다(개인정보 보호법 제39조). 즉, 개인정보 유출 사고에 따른 개인정보처리자의 손해배상책임은 해당 사업자가 개인정보 안전성 확보조치를 충실하게 이행했는지 여부에 달려 있습니다.

그렇다면, 개인정보 안전성 확보조치에 대한 판단기준은 무엇일까요? 개인정보보호 소관기관(현재는 개인정보보호위원회)에서 고시로 정하여 둔 ‘개인정보의 안전성 확보조치 기준’(개인정보보호위원회고시, 제2021-2호)만 준수하면 사업자가 의무이행을 다한 것이라고 평가할 수 있을까요?

대법원은 2015년 2월경 선고한 옥션 개인정보 유출 사건에 대한 판결에서 정보통신서비스 제공자가 고시에서 정하고 있는 개인정보의 기술적·관리적 보호조치를 다했다면, 특별한 사정이 없는 한 개인정보의 안전성 확보조치 의무를 위반했다고 볼 수 없다고 판시했습니다(2013다43994, 44003). 이 판시에 따르면, 사업자는 고시에 명시한 보호조치만 취하면 되므로, 개인정보 유출 사고에 대해 면책될 여지가 많았습니다. 고시에 개인정보 보호를 위해 필요한 모든 조치가 규정된 것도 아니고 기술 발전 등을 고려할 때 규정할 수도 없는 것인데, 사업자에게 사실상 면죄부를 준 판결이라는 비판이 있었습니다.

이후 대법원은 2018년 선고한 네이트·싸이월드 해킹사건에서 대한 판결에서 기존 입장을 변경했습니다. 네이트·싸이월드 해킹은 지난 2011년 7월경 네이트와 싸이월드가 해킹 당해 회원 3,500만 명의 이름과 주민등록번호, 생년월일, 전화번호, 주소 등이 유출된 사건입니다. 재판부는 고시에 명시한 바는 정보통신서비스 제공자가 반드시 준수해야 할 ‘최소한의 기준’을 정한 것이라고 해석했습니다. 즉, 고시에서 정하고 있는 기술적·관리적 보호조치를 다했다고 하더라도 정보통신서비스 제공자로서 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 않은 경우 손해배상 책임이 인정된다고 판시했습니다(2017다207994). 즉각적인 현실반영이 어려운 규제에 의존하기 보다는 사업자 스스로가 보다 현실적인 조치를 마련하기 위해 노력해야 한다는 취지로 풀이됩니다.

위와 같은 판시에도 불구하고, 네이트·싸이월드 해킹사건에서 사업자의 손해배상책임은 인정되지 않았습니다. 고시에 규정돼 있지 않더라도 개인정보처리자가 퇴근 시 로그아웃을 하지 않거나 자동 로그아웃 기능을 설정해야 할 보호조치 의무를 지닌다고 봤지만, 의무 불이행으로 인해 해킹사고가 발생한 것은 아니라고 판단했기 때문입니다.

법리적 변화에도 아직까지 고시에서 정하고 있는 개인정보 안전성 확보 조치 이외에 추가적인 조치를 취하지 않았음을 이유로 사업자의 주의 의무 위반을 실제 인정한 사례는 존재하지 않습니다. 고시의 내용이 보다 구체화되고 최소한의 조치 기준이 상향된 영향으로 보입니다.

그러나 하루가 다르게 기술이 발전하는 상황에서 사업자가 개인정보보호를 위해 취해야 하는 모든 조치를 시의 적절하게 규정화 하는 것은 사실상 불가능합니다. 우리 법원에서도 이러한 사정을 고려해 고시로 정한 사항 이외에도 사업자가 취해야 할 보호조치가 있을 수 있음을 인정한 것이라 생각합니다. 향후 어떤 사례에서 추가적인 조치의무 위반에 따른 개인정보처리자의 손해배상책임이 인정될 것인지 개인정보 유출사건들의 귀추가 주목됩니다.

다음 기고에서는 역대 최대 규모였던 신용카드 3사 개인정보 유출사건에 관한 대법원 판결(2018다219994)을 소개하겠습니다.

글 / 홍석현 법무법인 주원 변호사

홍석현 변호사는 서울대학교 법과대학 및 고려대학교 법학전문대학원을 졸업하고 제4회 변호사 시험을 합격했습니다. 김앤장 법률사무소 소속 변호사로 일하다가, 현재는 법무법인 주원 파트너 변호사로 재직 중입니다.

정리 / IT동아 김동진 (kdj@itdonga.com)