보안 불감증 경종 울린 정보 유출 판결

네이트·싸이월드 해킹 사건으로 개인정보를 유출당한 이용자들에게 운영업체 SK커뮤니케이션즈(SK컴즈)가 손해배상을 해야 한다는 법원 판결이 나왔다. 해킹에 따른 개인정보 유출에 대한 집단소송에서 이용자가 승소한 것은 이번이 처음이란 점에서 주목되는 판단이다.

　어제 서울서부지법 민사12부(부장 배호근)는 네이트 이용자 김모(44)씨 등 2882명이 SK컴즈를 상대로 낸 손해배상 청구 소송에서 “피고는 원고들에게 1인당 20만원씩 모두 5억7640만원을 지급하라”고 선고했다. 이 소송은 2011년 7월 네이트·싸이월드 회원 정보 데이터베이스(DB)가 해킹당하면서 성명과 주민등록번호, 주소, 전화번호 등 3500만 명의 개인정보가 유출된 데서 비롯됐다. 재판부는 “SK컴즈는 개인정보를 보호할 의무를 소홀히 해 해킹 사고를 방지하지 못했다”고 밝혔다. 이번 판결은 고객 정보 유출에 대한 기업의 책임을 폭넓게 인정했다는 점에서 그 의의를 찾을 수 있다. 그간 법원은 해킹 사고의 불가항력적 측면에 무게를 실어왔다. 지난해 11월 서울중앙지법도 같은 사건으로 2847명이 낸 손해배상 청구를 기각한 바 있다.

　두 갈래의 판결이 상급심에서 최종적으로 어떻게 정리될지는 섣불리 언급하기 어렵다. 다만 고객의 소중한 개인정보를 더 철저하게 관리해야 하는 상황임은 부인할 수 없을 것이다. 고객들도 “해킹은 어쩔 수 없는 사고 아니냐”는 변명에 동의하지 않는다. 빠져나간 개인정보가 언제 고객들의 재산과 안전을 위협할지 모르기 때문이다. 더욱이 서부지법 판결은 느슨한 관리 실태를 조목조목 지적했다. ▶침입탐지시스템 등의 경고 발생 기준을 지나치게 완화했고 ▶보안상 취약한 공개용 알집을 사용했으며 ▶DB 관리자가 업무 후 로그아웃을 하지 않은 것은 물론 자동 로그아웃 시간도 설정하지 않았다는 것이다. 기술적 시설만 갖추면 책임을 면할 수 있다는 식의 마인드로는 더 이상 IT(정보기술) 생태계에서 살아남을 수 없다. 시스템 운용 전 과정에서 보안 불감증을 걷어내는 노력이 필요한 때다.