대법원, 과실 없으면 해킹 손해배상책임 없다

네이트, 싸이월드 해킹 사건

2011년 7월 중국 해커의 서버 침입으로 약 3500만명에 달하는 네이트와 싸이월드 회원의 ID, 암호, 이름, 주민번호, 주소, 전화번호, 이메일 등의 개인정보가 유출되는 대규모 해킹사건이 있었습니다.
이에 피해자들은 재산적, 정신적 손해를 입었다며 1인당 30만원을 청구하는 소송을 냈는데, 패소가 확정됐습니다.

쟁점은 개인정보 유출 방지를 위한 보호조치를 제대로 했느냐 하는 점이었는데, 대법원은 의무 준수를 인정했습니다.
비밀번호와 주민번호를 암호화해 저장했고, 개인정보 최소 수집, 위험IP 차단 조치 등 주의의무를 다한것으로 판단했습니다.

판례 분석(대판 2018.1.25, 2015다24904)

대법원은 IT서비스 회사의 개인정보 보호 의무의 근거로 법률상, 계약상 2가지를 들고 있습니다.

법률상의 개인정보 보호조치 의무

정보통신망법 제28조 제1항, 정보통신망법 시행령 제15조에서 개인정보 보호의무와 보호조치를 구체적으로 규정하고 있습니다.
그런데 이 판례에서는, 법령에 나열한 조치는 최소한의 기준에 불과하므로, 규정된 조치를 다했다고 하여 당연히 면책되는 것은 아니라고 선언했습니다.
이러한 법률상 의무 위반이 인정되면, 해킹에 사실상 도움을 준 방조행위로 공동불법행위(민법 제760조 제3항)에 의한 손해배상책임을 지게 됩니다(대판 2007.6.14, 2005다32999).

정보통신서비스 이용계약상의 의무

회사가 이용약관을 통해 고객에게 필수적으로 개인정보를 요청하여 수집했으면, 이를 안전하게 관리할 계약상 의무를 진다고 했습니다.

위법행위 판단

대법원은 법령에 나열된 조치는 최소한의 기준에 불과하다는 점을 선언함과 더불어 해킹을 완벽하게 막는 것은 사실상 불가능하다는 점도 인정하고 있습니다.
그리하여 정보통신서비스 제공자가 개인정보 보호에 대한 법률상 또는 계약상 의무를 위반했는지 여부는 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단한다고 했습니다.

상당인과관계 필요

이 사건에서는 대부분 의무 준수를 인정했습니다.
다만, 개인정보처리자가 퇴근시 로그아웃하지 않은 점은 해킹을 쉽게 하는 방조행위로 위법하다고 판단했습니다.
그러나 키로깅을 이용한 이 사건에서는 해킹과 상당인과관계가 없다고 판단했습니다. 즉 키로깅으로 담당자의 ID와 암호를 이미 알아냈기 때문에, 로그아웃했더라도 해킹을 막을 수 없었다고 본 것입니다.
민법상 불법행위로 인한 손해배상책임이 성립하려면, 위법행위와 손해발생간에 합리적인 인과관계가 인정돼야 합니다.

참고 자료

• 대법 "'네이트·싸이월드 해킹' 사건, SK 배상책임 없다"
• 네이트·싸이월드 회원들의 개인정보 유출로 인한 손해배상청구 사건[대법원 2018. 1. 25. 선고 중요판결]