전 세계 기업들이 해킹으로 몸살을 앓고 있는 가운데 28일 SK커뮤니케이션즈(네이트, 싸이월드) 개인정보 유출 사건에 무죄 판결이 내려졌다.
SK커뮤니케이션즈(네이트, 싸이월드)는 지난 2011년 7월 중국발 서버 해킹으로 네이트와 싸이월드 회원 약 3500만 명의 회원들의 개인정보가 유출됐다. 유출된 개인정보에는 아이디와 비밀번호는 물론 이름, 주민등록번호, 전화번호, 주소 등이 포함된 것으로 밝혀졌다.
이에 SK커뮤니케이션즈 이용자연대는 개인정보 유출로 인해 산적·정신적 손해를 입었다며 1인당 30만원 씩 손해배상비를 청구하는 소송을 제기했다.
사건의 1심은 전국의 각 지방법원에서 진행됐다. 그러나 대구지방법원 김천지원과 서울서부지방법원은 회사 측 과실을 인정한 반면 서울남부지방법원은 반대로 회사의 책임이 없다고 판단, 지방법원별로 다른 판결이 내려졌다. 이후 SK커뮤니케이션즈는 “재판부의 판단이 엇갈리는 상황에서 개인정보 유출원인과 실체적 진실, 당사의 관리적, 기술적 의무 이행 여부에 대한 사실관계를 명확히 하기 위해 상급법원의 해석을 받을 필요가 있다.”며 2013년 2월 항소장을 제출했다.
2015년 3월, 서울고등법원은 2심에서 "정보통신서비스 제공자가 관련 법령에서 요구하는 기술적·관리적 보호 조치를 모두 충실히 이행한 것으로 판단된다"며 SK커뮤니케이션즈의 손을 들어 주었다.
이후 피해자들은 2심 판결에 불복, 상고를 제기했다. 그리고 지난 28일 대법원은 “해킹사고 당시 SK커뮤니케이션즈는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 관련 법령에 따라 침입차단시스템과 침입탐지시스템을 설치·운영하고 있었다”며 “SK커뮤니케이션즈가 개인정보 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 보기는 어렵다"고 판단, 원고 패소 판결을 내렸다.
이 밖에도 2008년 옥션 1080만 명의 개인정보가 유출 사건, 2012년 KT 가입자 870만 명의 개인정보가 유출 사건 역시 ‘개인정보 안전성 확보에 필요한 법률상 보호조치를 이행했다’는 이유로 잇따라 무죄 판결된바 있다.
이번 판결에 대해 유력 보안업체에서 본부장으로 일하는 전문가의 조언은 “2011년의 사건이니까 그렇지 현재 기준의 사고였다면 전혀 다른 판단이 나올 수 있을것 이라며 해킹은 전쟁이다. 새로운 방어체계가 나오면 새로운 공격무기가 나오기 마련”이라면서 “망 분리를 통해 원천적인 지점을 막아야 한다”고 조언했다. 그는 또 “당장 망 분리가 어렵다면 최소한 개인정보 시스템에 누군가가 들어올 경우 이를 알리는 신호체계라도 완비되어야 한다”고 말했다.
한편, 국제표준화기구는 사회적 책임에 대한 국제표준(ISO 26000)을 통해 이러한 소비자 프라이버시 침해 우려 상황을 대비해 기업이 사전적으로 고유식별정보 수집을 제한할 것을 권고하고 있다.