옥션 해킹 이후 불거진 개인정보 관리 부실에 따른 업체들의 책임이 어느 정도여야 하는가에 대한 판결이 나왔다.
결론은 옥션을 상대로 낸 집단 손해배상을 낸 원고 측의 패소였다.
서울중앙지법 민사합의21부(임성근 부장판사)는 지난 14일 개인정보 유출로 피해를 봤다며 옥션을 상대로 한 회원들이 제기한 손해배상 청구소송에서 원고 패소 판결했다.
재판부는 "정보통신망 서비스 제공자에게 해킹으로 개인정보가 도난당한 것에 대한 책임을 지게 하려면 제공자가 해킹방지 의무를 위반해 이를 예방하지 못한 경우에 한해야 한다"며 "옥션이 관련법에 정해진 기준을 어겼다고 볼 근거가 없다"고 했다.
더구나 "옥션이 방화벽을 설치하지 않았다고 주장하지만, 이는 법이 정한 의무가 아니며 당시 다수 업체가 방화벽을 신뢰하지 않아 이용하지 않았던 점을 고려하면 잘못이 있었다고 보기 어렵다"고 말해 옥션에 책임을 물을만한 근거가 없다는 취지의 결정을 내렸다.
재판부는 법이 요구하는 기술적 보안 수준과 해킹 당시 조치 내용, 해킹 기술의 발전 정도, 해킹 방지에 필요한 비용, 이용자의 피해 정도를 판단 기준으로 제시했으며 "해킹을 막지 못한 아쉬움이 있으나, 옥션에 과실이 있는 것으로 볼 수 없다"고 밝혔다.
그만은 이 사건과 관련된 내용은 몇 차례에 걸쳐 본질에 주목하라며 아래와 같이 주장한 바 있다.
2008/09/09 '과다 정보 저장'이 개인정보 침해 주범
2008/05/01 개인정보 유출, 원인은 과도한 실명제?
2008/04/22 해킹한 개인정보가 거래되는 사회
2008/04/18 걱정마세요. 이미 우리 정보는 다 유출돼 있으니
2008/03/06 옥션 해킹 사건 후폭풍, 집단 소송 위기
그리고
2008/02/11 사이버 인질극에 대처하는 우리의 자세
자신들이 보관중인 고객들의 개인정보가 누군가로부터 해킹을 당해 도난당했다면 얼른 고객들에게 알리고 보완 조치를 취하는 것은 옳다. 그것도 개인정보 침해 수준이 높을 수 있다는 점을 인지하게 된다면 반드시 '빠르게, 즉시' 고객들에게 개인정보 유출에 대한 고지를 하는 것이 옳지 않은가.
개인정보의 원주인 역시 피해자이겠지만 도둑을 당한 옥션도 당사자라고 할 수 있다. 그럼에도 가해자는 놔두고 피해자들끼리 소송을 거는 모습이 심히 못마땅했다. 그렇다고 옥션을 일방적으로 두둔하기도 힘들었지만 우루르 몰려들어 집단소송을 주도하는 법무 법인의 행태가 그리 고와보이진 않았다.
옥션 해킹과 집단 소송 판결이 주는 교훈을 대신해 이 사건 발생 초기에 적었던 마무리 글을 그대로 인용한다. 잘못을 고백하는 자가 나쁜가 끝까지 쉬쉬하는 자들이 나쁜가! 단연코 숨기려고만 하는 이들이 오히려 소송감 아닌가.
* 아 이버즈에서 이 글을 송고했군요. ^^; 익명의 피해자 여러분께서 오셔서 항의해주셨네요. 역시 본질은 어디 가고 일단 옥션 족치고 보자는 의견이신 거 같네요. 네, 옥션 족치죠. 반대하지 않습니다. 그래서 받아낼 것이 무엇인지 몰라도 일단 옥션의 잘못에 대해 지적하는 거 찬성합니다. 근데 그거야 개나 소나 아무나 다 할 수 있는 일이라 저는 가담할 생각이 없구요. 제가 옥션이 잘했다고 했나요?
결론은 옥션을 상대로 낸 집단 손해배상을 낸 원고 측의 패소였다.
서울중앙지법 민사합의21부(임성근 부장판사)는 지난 14일 개인정보 유출로 피해를 봤다며 옥션을 상대로 한 회원들이 제기한 손해배상 청구소송에서 원고 패소 판결했다.
재판부는 "정보통신망 서비스 제공자에게 해킹으로 개인정보가 도난당한 것에 대한 책임을 지게 하려면 제공자가 해킹방지 의무를 위반해 이를 예방하지 못한 경우에 한해야 한다"며 "옥션이 관련법에 정해진 기준을 어겼다고 볼 근거가 없다"고 했다.
더구나 "옥션이 방화벽을 설치하지 않았다고 주장하지만, 이는 법이 정한 의무가 아니며 당시 다수 업체가 방화벽을 신뢰하지 않아 이용하지 않았던 점을 고려하면 잘못이 있었다고 보기 어렵다"고 말해 옥션에 책임을 물을만한 근거가 없다는 취지의 결정을 내렸다.
재판부는 법이 요구하는 기술적 보안 수준과 해킹 당시 조치 내용, 해킹 기술의 발전 정도, 해킹 방지에 필요한 비용, 이용자의 피해 정도를 판단 기준으로 제시했으며 "해킹을 막지 못한 아쉬움이 있으나, 옥션에 과실이 있는 것으로 볼 수 없다"고 밝혔다.
그만은 이 사건과 관련된 내용은 몇 차례에 걸쳐 본질에 주목하라며 아래와 같이 주장한 바 있다.
2008/09/09 '과다 정보 저장'이 개인정보 침해 주범
2008/05/01 개인정보 유출, 원인은 과도한 실명제?
2008/04/22 해킹한 개인정보가 거래되는 사회
2008/04/18 걱정마세요. 이미 우리 정보는 다 유출돼 있으니
2008/03/06 옥션 해킹 사건 후폭풍, 집단 소송 위기
그리고
2008/02/11 사이버 인질극에 대처하는 우리의 자세
자신들이 보관중인 고객들의 개인정보가 누군가로부터 해킹을 당해 도난당했다면 얼른 고객들에게 알리고 보완 조치를 취하는 것은 옳다. 그것도 개인정보 침해 수준이 높을 수 있다는 점을 인지하게 된다면 반드시 '빠르게, 즉시' 고객들에게 개인정보 유출에 대한 고지를 하는 것이 옳지 않은가.
개인정보의 원주인 역시 피해자이겠지만 도둑을 당한 옥션도 당사자라고 할 수 있다. 그럼에도 가해자는 놔두고 피해자들끼리 소송을 거는 모습이 심히 못마땅했다. 그렇다고 옥션을 일방적으로 두둔하기도 힘들었지만 우루르 몰려들어 집단소송을 주도하는 법무 법인의 행태가 그리 고와보이진 않았다.
옥션 해킹과 집단 소송 판결이 주는 교훈을 대신해 이 사건 발생 초기에 적었던 마무리 글을 그대로 인용한다. 잘못을 고백하는 자가 나쁜가 끝까지 쉬쉬하는 자들이 나쁜가! 단연코 숨기려고만 하는 이들이 오히려 소송감 아닌가.
비록 고객 정보 유출 단서와 징후를 발견한 뒤 뒤늦게 공지했다는 비난이 일고 있지만 옥션의 자발적 공지는, 수사 결과 발표를 기다리며 자신들의 책임을 뒤로 미루는 기업들과 다른 모습인 것은 분명하다.
해커와 같은 범법자에게 금품을 제공하고 사건을 무마한다거나 해킹 징후를 발견하고 대외적으로 쉬쉬하는 국내 기업 풍토 속에 쉽지 않은 자발적 공지를 감행한 옥션 경영진에게 박수를 보낼 수 있어야 한다. 당장의 기업 이미지 실추를 막기 위해 사이버 인질범들에게 거액을 움켜주는 행동은 범죄인들을 안심시키고 숨겨주는 것이므로 범죄 이상으로 나쁜 행동이라는 점을 이번 기회에 다시 한 번 강조하고 싶다.
제가 주목한 것은 일이 벌어지고 난 다음의 옥션의 태도는 다른 해커와 타협하려는 이들과 쉬쉬 숨기려는 이들보다 그나마 낫다는 것이구요. 그리고 다들 얼굴 모르는 해커를 잡아들이지 못하는 당국에 대해서는 일언반구 한 마디를 안 하시네요. 그것 때문에 이 글을 쓰는 겁니다. 그리고 민간 업자들에게 개인정보를 과다하게 보유하게끔 유도하는 당국에게도 문제가 있다고 하는 겁니다.
서로 흥분하지 않고 생각해보면 이 사건 자체가 갖는 함의는 참 많습니다. 그 가운데 몇 가지를 드러낸 것이구요. 흑백 논리나 양자 택일 논리로 보지 않길 바랍니다. 욕하러 들르신 여러분의 댁내에도 평안함이 깃드시길 바랍니다. 감사합니다.
2010/01/15 01:15
2010/01/15 01:15