개인정보가 유출된 옥션 회원이 옥션과 보안관제사 인포섹을 상대로 제기한 손해배상청구소송에서 법원이 기각 결정을 내리면서, 보안업계와 피해자들의 희비가 엇갈리고 있다.
14일 옥션과 보안업계는 법원의 결정에 안도의 뜻을 내비친 반면, 개인정보 유출 피해자들은 이번 판결이 개인정보 유출기업에 면죄부를 주는 사례로 남을 수 있어 우려를 표명하고 있다.
당초 관련업계는 이번 소송이 원고 승소 판결이 내려졌을 경우, 개인정보 유출 피해자들의 줄소송으로 이어질 것으로 예상했다. 하지만 법원이 원고 패소 결정을 내리면서, 새로운 국면을 맞게 됐다.
◆해킹 경로 아직도 몰라…개인정보유출사고 '새 국면'
이번 옥션 정보 유출건은 국내에서 해킹과 관련한 손해배상 청구 소송중 최대 규모인데다, 판례가 없어 향후 기업의 개인정보유출 소송에 상당한 영향을 미칠 것으로 보인다.
소송에 참여한 한 원고는 "지난 2008년 4월 손해배상청구소송이 처음 제기됐는데, 지금까지 옥션의 해킹 경로가 밝혀지지 않았다"며 "경찰청 등 수사기관이 개인정보 침해 경위를 찾지 못한 상황에서 옥션이 보안관리자로서 주의의무를 다했다고 보는 것은 섣부른 게 아니냐"고 반문했다.
특히 1천81만명에 달하는 개인정보가 유출된 사고임에도 불구, 아직까지 뚜렷한 해킹 경로가 밝혀지지 않은 상황에서 나온 판결이라는 점에서 논란의 여지가 있다는 지적이다.
또 다른 원고는 "법원은 옥션이 개인정보를 관리하는 데 일부 미흡한 부분은 있었지만, 손해배상을 책임질 정도는 아니라고 했는데, 현행법상 그 범위와 판단 기준을 가르기가 쉽지 않아 완전히 수긍하기는 쉽지 않다"고 토로했다.
관련 업계에 따르면, 이번 소송에서 옥션과 보안관제회사 인포섹의 책임 과실을 규명하는 데는 여러 쟁점들이 있었다.
원고 측은 ▲e메일 관리 서버가 외부에 노출된 점 ▲보안 장비인 웹방화벽을 도입하지 않은 점 ▲개인정보를 암호화 하지 않은 점 ▲해킹이 추정되는 시점에 대량의 쿼리가 발생한 점 ▲서버 관리자의 계정 관리가 소홀한 점 등을 들어 옥션의 책임을 주장했다.
이에 대해 법원은 ▲e메일 관리 서버는 대다수 회사들이 외부에 두고 있으며 ▲웹방화벽은 선택 가능한 보안 장치이지 법적인 의무사항이 아니라는 점에서 옥션의 손을 들었다. 다량의 이상 쿼리가 발생한 것에 대해서는 해킹이 아닌 정상적인 환경에서도 유사한 상황이 나타날 수 있다고 밝혔다.
또 망법 개정에 따라 올해부터 시행되는 주민등록번호 암호화 조치는 옥션 사고 당시 의무 사항이 아니었다는 게 재판부의 기각 이유다.
◆"개인정보보호법 속히 제정돼야"
옥션의 보안관제를 맡은 인포섹 측은 "웹방화벽 도입 등에 대해서는 국내 포털과 은행권을 대상으로 실태 조사를 실시하는 한편 철저한 책임 규명 작업을 거쳤다"며 "기업은 보안 솔루션을 설치해 최소한의 방어막을 구축하고, 보안관제·컨설팅 등의 전문 서비스를 보강해 개인정보유출을 미연에 방지할 수 있도록 해야 한다"고 말했다.
또 다른 보안업계 관계자는 "국내에서 개인정보유출과 관련, 인터넷보안업체를 상대로 손해배상청구를 한 사례는 이번이 최초일 것"이라며 "옥션 사태를 계기로 국내 기업들이 해킹 피해시 주의의무를 다했다는 것을 입증하기 위해 보안솔루션 및 보안관제서비스 등의 도입을 서두를 것으로 보인다"고 말했다.
아울러 국회 계류중인 개인정보보호법이 속히 제정돼 개인정보보호를 위한 법적·제도적 장치가 마련돼야 한다는 입장이다.
한편, 미국에서도 지난 2006년 인터넷신용정보조회사이트가 해킹돼 개인정보가 유출되자 피해자들이 신용정보조회 회사인 ONB 뿐만 아니라 웹사이트 관리업체인 NCR을 상대로 소송을 제기했다.
하지만 미 법원은 피고가 원고에 대해 주의의무를 부담하는 것을 인정할 근거가 없다는 이유로 원고 패소 판결을 내린 바 있다.
서소정기자 ssj6@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기