정보유출 피해배상 못받았지만 개인정보관리 경각심 일깨웠다

옥션 해킹 5년… 집단소송이 가져 온 변화는

빠르게 발전하는 해킹 기술 감안 기업의 책임 엄격 적용해 판결

1·2심서 잇단 원고 패소에도 주민번호 등 보안강화 계기 마련

"변호사 배만 불려줬다" 불신에 유사 집단소송 규모 줄어들기도

지난 2008년 중국인 해커에 의해 옥션 회원 1,800만명의 개인정보가 유출됐다. 전국민의 3분 1을 웃도는 대규모의 이용자 정보가 새나간 터라 정보통신(IT) 강국을 자처하던 우리나라는 초비상이 걸렸다. 급기야 옥션 회원들은 개인정보에 대한 관리소홀을 이유로 대규모 집단소송에 나섰다.

소송이 시작된 2008년 당시만 해도 많은 이들은 낙승을 예견했다. 해킹으로 인한 피해는 명백했고 기업의 과실이 적지 않아 보였다. 옥션이 보안의 기본이라는 웹 방화벽을 서버가 느려진다는 이유로 설치하지 않았고 중요한 개인정보에 접근할 수 잇는 서버가 외부 인터넷 망을 통해 쉽게 접근할 수 있을 정도로 허술하게 관리됐다는 주장들이 속속 제시됐다. 변호사들은 "승리는 당연한 것이며 다만 얼마를 배상 받을 지가 문제"라고 호언했다. 해킹 사고가 일어난 지 수개월 만에 역대 최대 규모라는 15만 여명의 원고인단이 꾸려진 것도 이런 낙관적인 분위기에서 비롯됐다.

하지만 결과는 예상과는 딴판이었다. 13일 현재 전국에서 제기된 37건의 민사소송은 1심 판결에서 모조리 원고 패소 혹은 각하 판결을 받았다. 항소를 포기하지 않고 고법까지 올라간 소송에서도 정보 유출 피해자들의 패배가 이어졌다.

지난 2일 서울고등법원 민사16부는 4만3,000여명의 원고인단이 이베이옥션 등을 상대로"1심 판결을 취소하고 1인당 30만원의 손해배상금을 지급하라"며 제기한 4건의 항소심 재판에서 항소 기각 판결을 내렸다. 이어 8일 서울고법 민사12부가 4,000여명의 원고인단이 제기한 5건의 항소심을 기각했고, 10일 고법 민사10부 역시 2건의 재판에서 원고 측의 패배를 선언했다.

판결의 이유는 1심과 비슷했다. 재판부는 1ㆍ2심 모두 기업이 할 수 있는 범위에서 다른 기업들과 비교해 충분한 수준의 보안조치를 했다면 주의의무 위반에 대한 책임을 묻기 어렵다는 결론을 내놓고 있다. 옥션의 과실이 없었던 것은 아니지만 당시 다른 기업들의 보안조치 정도와 비교해 특별히 주의의무를 위반했다고 보기 어렵고, 해커가 오랜 준비기간을 거쳐 고도의 해킹 기술을 사용해 서버에 침입했다는 점을 볼 때 옥션에 손해배상 책임을 지우긴 어렵다는 것이다.

이 같은 분위기가 이어지는 한 현재 진행 중인 7건의 재판에서도 정보 유출 피해자의 승리를 기대하긴 어려워 보인다. 1심과 비슷한 주장을 펼쳤던 항소심 재판은 모조리 기각됐으니 나머지 재판에서 새로운 시각과 주장이 제시되지 않는다면 같은 결론을 얻어낼 가능성이 크다.

비록 소송이 옥션 이용자들의 패배로 마무리되고 있다지만 옥션 소송이 사회 여러 측면에서 일으킨 변화는 결코 적지 않다.

먼저 해킹이라는 불가항력적인 외부 침입을 막기 위한 기업의 책임은 어디까지인가를 처음으로 따져봤다는 점에서 의미가 있다. 1심 소송을 지휘한 임성근 서울고법 부장판사는 "통상 해킹 기술이 보안 기술보다 빠르게 발전하는 점을 볼 때 해킹을 당했다는 사실만으로 기업에 책임을 지운다면 대부분이 기업활동을 이어가기 어려울 것"이라며 "기업이 선량한 관리자로서 주의의무를 위반했는지 여부는 다른 기업의 보안 수준과 해커의 해킹 기술 수준 등 여러 사안을 종합적으로 고려해 엄격하게 따져봐야 한다"고 설명했다.



개인정보의 중요성에 대한 경각심도 일깨워줬다. 옥션 해킹사고로 유출된 정보는 아이디(ID)와 패스워드 등 인증정보를 비롯해 주민등록번호와 휴대전화번호, 계좌번호까지 포함됐는데 이중 옥션이 암호화한 정보는 패스워드밖에 없었다. 나머지 정보는 문자 그대로 고스란히 유출됐기 때문에 옥션의 해킹사고는 특히 보이스피싱 등 2차 피해가 컸다.

비록 해당 재판에서는 "당시 법령으로는 주민등록번호 등을 암호화하라고 규정하지 않았기에 주의의무 위반이 아니다"라는 판결을 받았지만, 이후 많은 기업들이 주민등록번호 등을 암호화하고 보안에 신경쓰도록 하는 계기가 됐다는 분석이 나온다.

한 IT기업의 보안 담당자는 "다행히 우리 회사는 아직 대규모 해킹사고가 발생하지 않았지만 옥션, 네이트 등의 손해배상 소송을 보며 회사 차원에서도 보안에 신경을 많이 쓰게 됐다"며 "주요 정보들을 담고 있는 관리자 서버는 외부 접근을 금지시키고 인증은 OTP(One Time Passwordㆍ무작위로 생성되는 일회용 패스워드 인증 방식)를 이용하는 등 노력을 기울이고 있다"고 설명했다.

옥션 소송은 유례없이 많은 소송인단이 인터넷 카페 등을 통해 집단소송을 제기한 대표적 사례이기도 했다. 1심 소송에 참여한 소송인단은 15만여명에 육박했고 한 사건의 원고인단이 9만명을 넘어서기도 했다. 소송배상액에 대한 관심이 높아지며 어떤 이들은 동시다발적으로 진행됐던 소송 여러 곳에 중복해 본인의 이름을 올리는 경우도 나왔다. 1심 재판부는"원고인단을 정리하는 데만 1년 넘게 걸린 것 같다"며 "원래 원고인단 정리는 원고 변호인 측이 해야 했지만 너무 사람이 많아 피고인인 옥션 측의 도움까지 받은 후에야 겨우 작업을 마무리 지을 수 있었다"고 회고했다. 항소심 참여자는 원심의 40% 수준인 5만8,000여명으로 대폭 줄었지만 여전히 적지 않은 숫자다.

다만 옥션 소송이 1심에서 패소함에 따라 이후 유사한 집단소송의 규모는 크게 줄었다. 소송 참여자들 사이에서 "변호사들 배만 불려줬다"는 비판의 목소리가 커지며 집단소송에 대한 불신이 깊어졌기 때문이다. 실제 옥션 해킹사건과 가장 유사하다는 평가를 받는 네이트ㆍSK컴즈 해킹사건의 경우 무려 3,500만명의 개인정보가 유출됐지만 7~8개월이 넘도록 소송참여자는 쉽게 늘어나지 않았다."이번에는 옥션 때처럼 당하지 않고 분위기를 보다가 참여하겠다"는 신중론자들이 대폭 늘어난 까닭이다.