해킹으로 인한 개인정보 유출 소송과 관련한 대표적인 국내 소송은 옥션 사건과 네이트·싸이월드 사건(이하 '네이트 사건')이 있다. 옥션 사건은 2015년에 대법원 판결이 나왔고, 최근 네이트 사건에 대한 대법원 판결도 나와 두 대표적인 사건에 대한 법원의 입장이 정리됐다.

그런데 대법원의 두 판결은, 피해자들인 원고가 패소했다는 점에서 같지만, 법리적으로 보면 전혀 다른 견해를 밝히고 있다. 간단하게 정리하자면, 기업에 유리하게 적용될 수 있었던 옥션 판결이 최근의 네이트 판결로 인해 피해자들에게 매우 유리하게 바뀌었다.

2015년 2월 12일 선고된 대법원 옥션 판결(2013다43994 등)의 핵심 내용은 '정보통신서비스 제공자가 기술적·관리적 보호조치 기준 고시 내용만 준수하면 과실이 없다'는 것이다. 즉 다양하고 수많은 안전성 확보에 관한 보호조치가 있더라도, 기업은 고시만 준수하면 민사적으로도 면책된다.

예를 들어, 매우 기본적이고 상식적인 보호조치로 알려진 '관리용 단말기를 장시간 사용하지 않을 때는 로그아웃 또는 전원을 끄는 조치'라도, 이러한 의무 내용이 고시에 열거되지 않으면, 이러한 조치를 하지 않아 대량의 개인정보 유출 사고가 발생한 경우 이를 행하지 않은 기업에 책임을 물을 수 없다.

옥션 판결은 기업에 부담된 보호조치 의무나 책임을 상당 부분 경감시킬 수 있어, 때에 따라서는 기업 입장에서는 면죄부와 같은 판결이라 할 수 있다.

하지만 옥션 판결의 이러한 입장은 이번 네이트 판결로 대폭 수정됐다. 대법원에 의해 2018년 1월 25일 선고된 네이트 판결(2015다24904 등)의 내용을 요약하면, '정보통신서비스 제공자가 고시에서 정한 보호조치 내용을 다 준수하였다 하더라도, 그 외 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 않은 경우는 해커의 방조자로서 손해배상 책임이 있다'는 것이다.

이 판결 내용은 향후 해킹 관련 개인정보 유출 소송에서 중차대한 의미를 가진다.

첫째, 방송통신위원회의 개인정보의 기술적·관리적 보호조치 기준에는 '이 고시는 최소한의 기준'이라는 취지의 문구가 나오는데, 그간 그 의미에 대한 법원의 명확한 해석은 없었다.

하지만 네이트 판결은 '최소한의 기준'의 의미에 대해 우선의 기준을 제시하고 있다. 즉 '정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치'는 고시에 열거되지 않더라도 기업이 그 의무를 다하여야 한다는 것이다.

예를 들면, 대기업은 고시에 열거된 보호조치 내용뿐만 아니라 대기업의 보유 개인정보 개수나 매출 등을 고려하여 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치도 취해야 하고, 이를 취하지 않은 경우 해커의 방조자로서 손해배상 책임을 부담할 수 있다.

더불어 대법원은 정보통신서비스 제공자가 정보처리시스템에 접속한 개인정보취급자로 하여금 작업 종료 이후 로그아웃을 하도록 하는 것은 '정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치'의 예에 해당한다고 판단했다(지금은 해당 내용이 고시에 규정되어 있는데, 네이트·싸이월드 사건 발생 당시에는 고시에 그 내용이 없었다. 그럼에도 불구하고 대법원은 이를 당시 정보통신서비스 제공자가 취했어야 할 보호조치에 해당한다고 판단한 것이다).

둘째, 정보통신서비스 제공자는 해커의 해킹에 도움을 주지 아니할 주의의무가 있다고 명시적으로 판단했다. 그리고 기업이 적절한 보호조치를 취하지 아니하여 개인정보 유출이라는 결과가 발생한다면, 해커의 방조자로서 '공동 불법행위' 책임을 부담하게 된다는 점을 밝혔다.

통상 해킹 소송에서 기업은 피해자적 지위를 강조하지만, 대법원의 네이트 판결은 기업은 해커에 대항해야 할 주의의무가 있고 만일 이를 다하지 못하면 정보주체에 대해 책임을 질 수 있다는 기업의 가해자적 지위를 최초로 강조했다고 평가할 수 있다.

이번 네이트 판결은 옥션 판결을 부정하지는 않았지만, 위와 같은 추가적인 의무를 인정함으로써 결과적으로 옥션 판결의 입장을 뒤집은 판결로 볼 수 있다. 판결로 인해 향후 해킹으로 인한 개인정보 유출 소송에서 피해자는 고시에 국한하지 않은 다양한 주장을 할 수 있는바, 피해자의 지위가 전반적으로 크게 강화됐다.

이런 점에서 네이트 판결은 사실적인 면에서의 패소와는 별개로 법리 면에서 피해자의 승소 판결이라고 할 수 있으며 우리나라 개인정보 유출 사건의 기록에 진하고 큰 획을 그은 중차대한 판결이라고 평가한다.

※ 외부필자의 원고는 IT조선의 편집방향과 일치하지 않을 수 있습니다.

김경환 법무법인 민후 대표변호사는 서울대 전자공학과에서 학·석사를 했고, 조지워싱턴대 국제거래법연수를 마쳤습니다. 사법연수원 제36기를 수료하고, 국회사무처 사무관(법제직)과 남앤드남 국제특허법률사무소(특허출원, 특허소송, 민사소송 변호사), 서울지방변호사회 법제위원회 위원을 거쳤습니다. 현재는 방위산업기술보호위원회 위원, 연세대 법학전문대학원 개인정보보호 최고전문가과정 강의, 지식재산위원회 해외진출 중소기업 IP전략지원 특별전문위원회 전문위원,한국인터넷진흥원 민원처리심사위원회 위원 등 다양한 분야에 조정 자문을 맡고 있습니다.