[이코노믹리뷰=양인정 기자] 대법원이 2011년 ‘네이트, 싸이월드 등 해킹 사건’과 관련해 회사 측에 손해배상 책임이 없다고 판결했다.  법원이 조직과 전문 지식을 갖춘 기업보다는 개인들에게 해킹의 원인을 밝히는 일과 같은 전문가의 책임을 떠넘겼다는 비판을 피하기 어려울 것으로 보인다. 유사한 분쟁이 발생할 경우 개인 피해자들이 구제받지 못할 가능성을 배제하기 어렵게 됐다.

대법원 1부(주심 이기택 대법관)는 28일 김모씨 등 49명이 SK커뮤니케이션즈의 관리 소홀로 싸이월드와 네이트의 개인정보가 유출됐다며 제기한 소송에서 회사 측의 손을 들어줬다.

대법원은 “피고(SK커뮤니케이션즈 등)가 해킹사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다했다”면서  “피고가 개인정보의 안정성 확보에 필요한 보호조치를 위해야 할 법률상 또는 계약상 의무를 위반하지 않았다”고 결정이유를 밝혔다. 대법원은  또 “회사가 방송통신위원회가 정한 규정에 맞춰 해킹탐지 시스템을 설치 운영하고 있었다”고도 밝혔다.

법조계는 이번 대법원 결정에 대해 소비자의 개인정보보호에 관한 법적 체계가 미흡해 생긴 결과라고 평가했다.

현행 소비자보호법은 개인정보 유출 등 피해가 회사의 관리소홀로 발생했다는 개연성은 개인정보주체인 소비자가 입증해야 하고 회사는 자기들이 기술로 관리 책임을 다했다는 점을 입증해야 한다.

법률 체계상 개인정보를 다루는 사업 주체는 기술의 하자가 없다는 점을 적극 주장할 수 있지만, 개인은 그 주장에 대해 문제점을 지적할 전문성을 갖추기 어려운 게 현실이다.

대형로펌 소속의 한 변호사는 “해킹에 따른  피해는 보안을 취약하게 관리해서 생기는 문제가 대부분”이라면서  “사업주체가 소송과정에서 증인이나 감정을 통해 보안업계에서 통상으로 요구되는 기술 수준을 준수했다고 주장한다면 그 상황에서 피해를 입은 개인들이 회사의 과실을 입증하는 것은 어렵다”고 소송의 문제점을 지적했다.

이런 이유에서 향후 이 같은 분쟁에 대해서는 징벌적 손해배상 제도를 폭넓게 적용해야 한다는 주장도 제기됐다. 현행 개인정보법은 싸이월드 해킹으로 소송이 한창인 2015년에 징벌적 손해배상 제도를 도입했으나 사업 주체가 고의나 중대한 과실이 없음을 증명하는 경우 책임을 면하도록 규정하고 있다.

대형로펌 소속 변호사는 “이 경우 개인이 징벌적 손해배상 청구를 하려면 기술적으로 회사의 고의나 중과실을 밝혀야 하는 문제가 있다”고 설명했다.

징벌적 손해배상과 관련해 전별 변호사(법률사무소 동일)는 “앞으로 4차 산업혁명 시대에는 이 같은 문제가 더욱 심각한 손해를 불러일으킬 것이므로 이 분야에 대한 징벌적 손해배상 제도를 피해를 본 개인정보 주체에게 유리하게 정비해 도입할 필요가 있다”고 강조했다.

이번 재판은 지난 2011년 7월 중국 해커가 네이트와 싸이월드 서버를 해킹해 약 3500만명의 회원들의 개인정보가 유출되면서 시작됐다. 당시 회원들은 개인정보 유출로 재산 피해와 정신 피해를 보았다며 SK커뮤니케이션스, 이스트소프트, 안랩 등을 공동피고로 하여 전국 각 지역법원에 소송을 제기했다.

1심의 재판 결과는 제각각이었다. 대구지방법원 김천지원이 2012년 4월에 회사측이 원고에게 100만원을 지급하라는 판결이 있은 후 다음 해 서울서부지방법원이 원고에게 1인당 20만원을 지급하라고 판결했다. 그러나 서울남부지방법원 회사의 책임이 없다고 판결하면서 회사는 패소로 다른 법원 판결에 불복, 고등법원에 항소했다. 고등법원은 회원들의 위자료를 인정하지 않았고 대법원은 이번 결정으로 고등법원의 판결을 확정했다.