개인정보 유출, 포털 사이트는 언제 책임질까?

해킹으로 개인정보 유출, 포털 사이트에 배상 책임을 물을 수 있을까요? 이 질문에 대한 대법원의 판단을 살펴보겠습니다. 이번 판례는 개인정보 보호의 중요성과 인터넷 서비스 제공자의 책임 범위에 대한 기준을 제시하고 있습니다.

사건의 개요

A 포털 사이트 회원들의 개인정보가 해킹으로 유출되는 사고가 발생했습니다. 피해 회원 B씨 등은 A사를 상대로 손해배상 소송을 제기했습니다. 쟁점은 A사가 개인정보 보호를 위해 충분한 조치를 취했는지, 그리고 로그아웃 미이행과 해킹 사고 사이에 인과관계가 있는지였습니다.

대법원의 판단

대법원은 A사의 손해배상 책임을 인정하지 않았습니다. 그 이유는 다음과 같습니다.

1. 정보통신서비스 제공자의 의무

• 정보통신서비스 제공자는 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2012. 2. 17. 법률 제11322호로 개정되기 전) 제28조 제1항 및 시행령 제15조에 따라 개인정보의 안전성 확보에 필요한 기술적·관리적 보호조치를 취해야 할 의무가 있습니다. 이는 법률상, 그리고 서비스 이용계약상의 의무입니다.
• 하지만 인터넷 서비스의 특성상 해킹 등 불법적인 침입 가능성을 완전히 배제하기는 어렵습니다. 따라서 서비스 제공자의 책임 여부는 당시 기술 수준, 회사 규모, 보안 조치 내용, 경제적 비용, 해킹 기술 수준 등을 종합적으로 고려하여 판단해야 합니다. (대법원 2015. 2. 12. 선고 2013다43994, 44003 판결)

2. '개인정보 보호조치 기준' 고시의 의미

• 방송통신위원회 고시(개인정보의 기술적·관리적 보호조치 기준, 방송통신위원회 고시 제2011-1호)는 정보통신서비스 제공자가 준수해야 할 최소한의 기준을 제시하고 있습니다. 고시를 준수했다면 특별한 사정이 없는 한 법률상 또는 계약상 의무 위반이라고 보기 어렵습니다.
• 그러나 고시 준수만으로 충분하지 않을 수 있습니다. 사회통념상 기대 가능한 보호조치를 다하지 않았다면 위법으로 판단될 수 있습니다. (대법원 2007. 6. 14. 선고 2005다32999 판결)

3. 이 사건의 경우

• A사는 직원들의 로그아웃 의무를 명시적으로 규정하지 않았고, 자동 로그아웃 기능도 설정하지 않았습니다. 하지만 해커는 이미 키로깅으로 담당 직원의 아이디와 비밀번호를 획득한 상태였습니다. 따라서 로그아웃 여부와 관계없이 해킹이 가능했으므로, 로그아웃 미이행과 해킹 사이에 인과관계를 인정하기 어렵습니다.

결론적으로 대법원은 A사가 고시에서 정한 최소한의 보호조치는 물론 사회통념상 기대 가능한 수준의 보호조치를 다했는지 여부를 종합적으로 판단해야 한다는 원칙을 제시했습니다. 이 사건에서는 로그아웃 미이행과 해킹 사이의 인과관계가 없다고 판단하여 A사의 책임을 인정하지 않았습니다. 하지만 다른 사건에서는 고시 준수 여부와 관계없이 추가적인 보호조치를 하지 않은 것을 문제 삼아 서비스 제공자의 책임을 인정할 가능성도 열어 두었습니다.