대법원1부(주심 박정화 대법관)는 개인정보 유출 피해자인 유모 씨가 SK컴즈를 상대로 낸 위자료 청구소송 상고심에서 원고 일부 승소 판결한 원심을 파기환송 했다고 12일 밝혔다.
유 씨는 2011년 11월 중국 해커의 서버 침입으로 자신의 네이트, 싸이월드 회원가입 정보인 아이디(ID), 비밀번호, 주민등록번호, 성명, 생년월일, 이메일 주소, 전화번호, 주소 등이 유출됐다며 300만 원의 손해배상 소송을 냈다.
유 씨는 SK컴즈가 과다한 회원가입 정보를 수집했고, 충분한 보호조치를 취하지 않아 개인정보가 유출됐다고 주장했다. 더불어 SK컴즈 직원들이 유료로 제공되는 기업용 압축 프로그램이 아닌 보안에 취약한 국내 공개용 무료 프로그램을 사용하도록 내버려 둬 해킹 사고의 원인을 제공한 만큼 SK컴즈의 책임이 있다고 봤다.
경찰 조사 결과 중국 해커는 네이트ㆍ싸이월드 데이터베이스 서버를 관리하는 SK컴즈의 직원 컴퓨터에 악성 프로그램을 심어 정보를 유출해 갔다. 이 해커는 국내에 무료로 제공되는 압축 프로그램의 특정 파일과 이름이 같은 악성 프로그램을 만들어 유포했다. 이 악성 프로그램은 해당 압축 프로그램을 업데이트할 경우 정상 경로가 아닌 곳에서 해커가 임의로 설정한 해킹 프로그램을 자동 다운로드했다.
SK컴즈 측은 법에서 정한 기술적ㆍ관리적 보호조치를 모두 준수한 만큼 개인정보가 유출됐다는 이유만으로 책임을 묻는 것은 잘못됐다고 주장했다. 이어 개인정보 유출로 인한 실질적인 손해가 발생하지 않았고, 국내 압축 프로그램을 이용한 해커의 악성 프로그램 설치 방식과 해킹사고의 인과관계를 인정할 수 없다고 반박했다.
그러나 1, 2심은 SK컴즈의 주장을 받아들이지 않고 유 씨에게 100만 원을 배상하라고 판결했다. 1, 2심은 "당시 SK컴즈의 보호조치는 부족한 수준이었다"고 지적했다.
반면 대법원은 SK컴즈가 개인정보 보호를 위한 조치가 적절했으며, 국내 공개용 압축 프로그램을 이용한 해킹사고를 예견할 수 없었을 것이라며 원심 판단을 뒤집었다.
재판부는 "SK컴즈가 압축 프로그램 업데이트 과정에서 악성 프로그램을 내려받아 해킹수단으로 이용될 것까지 구체적으로 예견할 수 있었다고 인정하기 어렵다"고 지적했다.
이어 "개인정보 보관 시 암호화, 침입탐지 시스템 설치 등을 종합적으로 살펴보면 SK컴즈가 해킹사고 당시 사회 통념상 합리적으로 기대 가능한 정도의 보호조치를 다하지 않았다고 볼 수 없다"고 판단했다.