온라인 쇼핑몰 개인정보 유출, 누구 책임일까?

몇 년 전, 대형 온라인 쇼핑몰에서 해킹으로 수많은 회원정보가 유출되는 사건이 있었습니다. 이 사건으로 피해를 입은 이용자들은 쇼핑몰 운영 업체와 보안관제 업체를 상대로 손해배상 소송을 제기했습니다. 과연 누구에게 책임을 물을 수 있을까요? 오늘은 이 사건의 대법원 판결을 통해 온라인 서비스 제공자의 개인정보 보호 책임에 대해 알아보겠습니다.

사건의 개요

옥션(현 이베이코리아)에서 해킹으로 인해 다수 이용자의 이름, 주민등록번호, 휴대전화번호, 이메일 주소 등 개인정보가 유출되었습니다. 이용자들은 옥션과 보안관제 업체인 인포섹을 상대로 손해배상을 청구했습니다.

쟁점

1. 정보통신서비스 제공자는 이용자의 개인정보를 보호할 법적 의무가 있는가?
2. 정보통신서비스 제공자가 개인정보 보호 의무를 위반했는지 판단하는 기준은 무엇인가?
3. 정부가 정한 보호조치 기준을 지켰다면 책임이 없는가?

대법원의 판단

1. 정보통신서비스 제공자는 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙 제3조의3 제1항 (현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조 참조) 등에 따라 이용자의 개인정보 보호를 위한 기술적·관리적 조치를 취해야 할 법률상 의무를 부담합니다. 또한, 이용자와 서비스 이용계약을 체결하고 개인정보를 수집했다면, 개인정보를 안전하게 보호해야 할 계약상 의무도 부담합니다.

2. 정보통신서비스의 특수성(해킹 위험에 상시 노출)을 고려하여, 정보통신서비스 제공자가 개인정보 보호 의무를 위반했는지 판단할 때에는 다음과 같은 사정을 종합적으로 고려해야 합니다.

   • 해킹 당시의 정보보안 기술 수준
   • 서비스 제공자의 업종·규모 및 보안 조치 내용
   • 정보보안 비용 및 효용
   • 해킹 기술 수준과 피해 발생 회피 가능성
   • 유출된 개인정보 내용과 피해 정도
   • 즉, 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 했는지가 판단 기준입니다.

3. 정보통신부장관이 정한 ‘개인정보의 기술적·관리적 보호조치 기준’(정보통신부 고시 제2005-18호 및 제2007-3호)을 준수했다면 특별한 사정이 없는 한 개인정보 보호 의무를 위반한 것으로 보기 어렵습니다. (구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙 제3조의3 제2항 - 현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조 제6항 참조)

이 사건의 경우

대법원은 옥션이 당시 기술 수준과 업계의 일반적인 보안 수준을 고려했을 때, 사회통념상 합리적인 보호조치를 다했다고 판단했습니다. 해커가 고도의 해킹 기술을 사용했고, 옥션이 취한 보안 조치에도 불구하고 해킹을 완벽히 막기는 어려웠다는 점을 인정한 것입니다. 보안관제 업체인 인포섹에 대해서도 마찬가지로 책임을 묻기 어렵다고 판단했습니다.

결론

이 판결은 온라인 서비스 제공자에게 개인정보 보호 의무를 부과하지만, 동시에 해킹의 위험과 기술적 한계를 고려하여 **"합리적인 수준의 보호조치"**를 기준으로 책임 여부를 판단해야 한다는 점을 명확히 했습니다. 정보통신 기술의 발전과 해킹 수법의 고도화에 따라 개인정보 보호에 대한 기준도 계속해서 변화하고 있으므로, 관련 법규와 기술 동향을 지속적으로 주시해야 할 것입니다.