뉴시스

【서울=뉴시스】김미영 기자 = 법원은 14일 국내 대표적 오픈마켓인 옥션의 2008년 개인정보 유출사건 피해자들이 옥션을 상대로 낸 손해배상 청구소송에서 "옥션에 민법상 책임을 물을 수 없다"고 판결했다. 이같은 판결이 내려진 이유는 무엇일까.

1000만명이 넘는 대규모 개인정보 유출 피해가 발생한 옥션 해킹 사건은 한국인 브로커와 중국 해커의 소행으로 밝혀진 바 있다. 이번 재판의 핵심은 중국 해커의 공격을 옥션이 일상적인 보안업무를 통해 막을 수 있었는가, 아니면 '불가항력'이었는가 하는 점이다.

재판부는 일단 '불가항력'이라는 점에 방점을 찍은 듯 하다. 이는 "옥션이 해킹을 막지 못한 아쉬움이 일부 있긴 하나 당시 옥션의 각종 보안조치, 해킹 방지 기술의 발전 상황 및 해킹 수법 등에 비춰 옥션에 과실이 있다고 보기 어렵다"는 판시에서도 드러난다.

아울러 웹 서버인 이노믹스에 아무런 보안조치를 취하지 않았다는 원고들의 주장에 대해서도 "해커가 인터넷을 통해 서버에 접속했다는 사실만으로 옥션이 보안조치를 하지 않았다고는 볼 수 없고, 악성코드인 웹셀이 발견됐으나 이는 당시 통용되던 최신 백신 프로그램으로는 탐지될 수 없었다"고 밝혔다.

또한 웹 관련 해킹을 막기 위한 웹 방화벽 미설치 주장에 대해서는 "웹 방화벽은 각 시스템의 특성에 따라 선택적으로 도입되는 보안조치"라며 "관련 법상 웹 방화벽의 설치는 의무가 아니다"고 말했다.

이어 "지난해 12월 법원의 자체 조사 결과, 종합 포털사이트, 오픈마켓사이트, 종합쇼핑몰사이트, 게임포털사이트 등 12개 업체 중 11개 업체 및 8개 금융 기관 중 7개 기관이 웹 방화벽의 기능 및 성능을 신뢰하지 않아 이를 도입하지 않고 있다"며 "대신 옥션은 24시간 실시간 감시를 하고 있으며 웹 방화벽만으로 모든 해킹을 방지할 수도 없다"고 덧붙였다.

재판부는 정보통신망 법 등에 따라 주민등록번호를 암호화 하지 않았다는 주장에 대해서는 해당 규정은 옥션 사고 이후인 2008년 2월에나 개정돼 2010년 1월 28일부터 시행될 예정이라고 지적했다.

다량의 쿼리 발생 등 이상 징후에 대한 미조치와 관련, "해커가 데이터베이스 서버 관리자 권한을 빼앗아 정상적인 방법에 따라 개인정보 조회를 한 것으로 추정된다"며 "이 때문에 관리자는 비정상적 징후를 발견하지 못했다"고 설명했다.

이밖에 정보 미유출 원고들의 위자료 청구에 대해 "해킹 사건으로 개인정보가 유출된 사람은 1000만여명으로, 나머지 옥션 회원들의 개인 정보가 서버 외부로 유출돼 옥션의 관리·통제권을 벗어났거나 제3자가 그 정보를 취득했다고 볼 수 없다"고 판단했다.

다만 옥션에 민법상의 책임을 물을 수는 없어도 정보 유출에 따른 도의적·사회적 책임은 인정했다. 판결 직후 회원들에게 옥션 이용 특전 등을 부여하는 방법으로 보상해야 한다고 언급하기도 했다.

2008년 2월 옥션 사이트가 해킹되면서 주민등록번호 등 개인정보가 유출된 김씨 등은 그 해 4월 소송을 냈다. 한국인 브로커와 중국 해커의 소행으로 밝혀진 이 사건은 결국 피해자 1000만여명 중 14만5000명이 옥션을 상대로 30건의 소송을 제기하는 등 초유의 집단 소송으로까지 확대됐다.

mykim@newsis.com

< 저작권자ⓒ '한국언론 뉴스허브' 뉴시스통신사. 무단전재-재배포 금지. >