지난 2월15일 서울서부지방법원은 SK컴즈에서 발생한 해킹 사고와 관련하여 개인정보가 유출된 SK컴즈에 그 유출 책임을 인정하는 판결을 선고한 바 있다. 1인당 20만원의 위자료 지급 판결이기는 하지만, 의도적인 유출 사고가 아닌 해킹 사고로 인한 개인정보 보호 책임을 인정한 첫번째 사례이고 비록 원고의 수는 일부이기는 하나 동일한 지위에 있는 잠재적 원고의 수에 비추어 볼 때 그 파장은 예사롭지 않은 수준이라 할 것이다.
이는 현재 해킹 사고로 인하여 고객의 개인정보가 유출되어 송사를 겪고 있는 기업들에 한정되는 문제가 아니라, 해킹 사고에 노출될 수 밖에 없는 국내의 거의 모든 기업들에 해당될 수 있는 문제이므로 더더욱 그 중요성은 인정될 수 밖에 없다.
널리 알려져 있다시피 이미 서울 중앙법원은 동일한 사건에 대하여 개인정보의 관리자에게 그 관리책임을 물을 수는 없다 하여 손해배상 청구를 기각하는 판결을 한 바 있었고, 그 이후 구미시법원의 판결에서 원고의 책임이 인정된 바 있었으나 그 사건에서는 사실관계 및 법리적인 측면에서 제대로 된 심리가 이루어진 적은 없었다.
그렇다면, 동일한 사안에 대하여 법원이 서로 다른 결론을 내리는 것에는 아무런 문제가 없을까? 이상적으로 보면, 동일한 사건에 대하여 동일한 결론이 내려지는 것이 바람직하기는 하지만, 각 사건별로 제출되는 증거도 다르고, 그에 따라 각 재판부가 판단하는 내용도 충분히 다를 수 있음은 어느 나라에서나 있는 일이다.
이는 어느 법원이 잘못된 판단을 내렸다는 것이 아니라, 각 재판부가 가지는 권한에 따라 법원이 서로 다른 판단을 충분히 내릴 수 있는 것이다. 이는 3심제가 존재하는 이유이기도 하며, 고등법원과 대법원의 판단을 거쳐 사실 관계가 하나로 수렴되고 또한 판단도 자연스럽게 하나로 귀결될 것이다.
한편, 민법 뿐만 아니라 관련 법률인 정보통신망법도 개인정보 유출로 인한 기업의 책임 여부를 판단함에 있어서 법에 규정된 주의의무 위반을 전제로 하고 있다. 즉, 개인정보 유출이라는 결과 자체만으로 어떠한 책임을 지는 것이 아니라 개인정보를 보호하여야 할 의무가 있는 기업이 그 주의 의무를 다하지 않은 점이 인정되어야 한다는 것이다.
해킹 사고의 특성은 언제라도 어떠한 상황에서라도 발생할 수 있고 또한 그 사고를 100% 방지하는 것은 불가능하는 것이므로 기업이 준수하여야 할 주의의무의 내용에 대하여 정통망법에서 구체적으로 정하여 개인정보를 관리하는 기업들이 그 의무를 준수하도록 하고 있는 것이다.
물론 정통망법이 정한 기준에는 포함되어 있지 않더라도 기업측에 다른 주의 의무 위반이 있고 그로 인해 유출사고가 발생하였음이 인정된다면 그 유출로 인한 책임을 부담하는 것은 당연하다 하겠지만, 이러한 논리가 유출 사고가 발생한 기업에 일말의 잘못이라도 있다면 책임을 져야 한다는 논리로 귀결되어서는 아니될 것이다.
기업은 자신이 관리하는 고객의 개인정보를 보호할 주의 의무를 부담하지만, 그러한 주의 의무는 최고의 완벽한 기술 수준을 전제로 하는 것이 아니며 당시의 경제적, 기술적 수준에 비추어 보았을 때 합리적인 수준에서 기대할 만한 정도의 수준을 요구하는 것이다.
만약 그렇지 않으면 기업이 어떠한 조치 사항을 취하지 않았다는 이유만으로 곧바로 유출 사고에 대한 책임을 지라는 결론이 도달하게 될 우려가 발생할 수 있다. 즉, 유출 사고가 발생한 이상 해당 기업이 무언가 개인정보 보호를 위한 조치를 하지 않았다는 점은 필연적으로 발견될 수 밖에 없는 것이며, 그러한 미조치 사항이 발견되었다는 점을 들어 손해배상책임을 지우는 것은 법이 예정하고 있는 것과 달리 사실 상 결과 자체에 대한 책임을 지우게 될 수도 있는 것이다.
이번 SK컴즈 개인정보 유출 사고에 대한 판결은 기업의 개인정보 보호 의무에 대한 경각심을 일깨워주는 판결이라 할 것이다. 이 사건을 계기로 각 기업의 정보보호에 대한 의식이 좀 더 고양되고 개인정보 보호를 위한 조치가 불필요한 비용의 지출이 아닌 기업의 필수적인 조치 사항으로 인식 될수 있기를 희망한다.
강태욱 변호사는 서울대 법과대학을 졸업하고 동 대학원 석박사 과정을 거쳤다. 제40회 사법시험에 합격(1998)하고 미국 뉴욕주 변호사 자격도 보유하고 있다. 청주지법, 수원지법 판사로 재직했다. 현재는 법무법인(유한)태평양, 콘텐츠분쟁조정위원회 콘텐츠공정거래 법률자문위원, 행정안전부 개인정보보호 법령해석 자문위원으로 활동중이다.
--comment--
첫 번째 댓글을 작성해 보세요.