가입자 870만 명의 개인정보를 해킹당한 KT에 정보 유출의 책임을 물을 수 없다는 대법원 판단이 나왔다. KT의 손해배상 책임 여부를 두고 하급심 판단이 엇갈린 가운데 사고 발생 6년 만에 나온 대법원의 첫 ‘교통정리’다. 회사가 보안책임을 다 했는데도 새로 개발된 해킹 기술로 인해 피해를 입었다면 책임을 물을 수 없다는 것이다.

1심 모두 10만원 배상, 2심서 엇갈려

"신기술에 의한 해킹 피해, KT 배상 책임 없다"
대법원 1부(주심 권순일 대법관)는 28일 강모씨 등 KT 개인정보 유출 피해자 341명이 회사를 상대로 낸 손해배상 청구 소송 상고심에서 원고 패소 판결한 원심을 확정했다. 또 같은 사건의 또 다른 피해자 101명이 원고인 소송에서 원고 일부 승소로 판결한 원심을 깨고 사건을 원고 패소 취지로 서울중앙지방법원에 돌려보냈다. 모두 KT에 정보유출 책임을 물을 수 없다는 취지다.

2012년 최모씨 등 해커 두 명에 의해 KT 가입자 870만 명의 개인정보가 유출되는 사고가 발생했다. 이들은 직접 개발한 해킹 프로그램으로 KT의 고객정보 데이터베이스에 침입해 이름과 주소, 주민등록번호, 휴대폰 가입일, 사용 요금제 등의 개인정보를 빼냈다. KT는 약 5개월 동안 이 같은 유출 사태를 파악조차 하지 못한 것으로 조사됐다. 이후 KT의 개인정보 관리·감독 부실 책임을 묻는 소비자의 단체소송이 우후죽순 시작됐다.

이날 선고된 두 사건 모두 1심에서 원고가 승소해 1인당 10만원 배상 판결을 받았으나 2심 판단은 엇갈렸다. 강씨 등 101명이 원고인 사건의 항소심을 맡은 서울중앙지법은 1심과 마찬가지로 KT의 배상 책임을 인정했다. 반면 341명이 원고로 참여한 소송의 항소심을 맡은 서울고법은 “KT가 개인정보처리시스템에 대한 관리·감독을 게을리했다고 보기 어렵다”며 1심을 뒤집었다.

“국내 첫 등장 해킹 기술, 대비 어려워”

대법원은 KT 손을 들어줬다. 재판부는 “KT의 접근통제시스템 자체가 불완전하다거나 KT가 개인정보 송·수신 시 암호화 의무를 위반했다고 볼 수 없다”며 KT의 손해배상 책임을 부정했다. 이어 “국내에서는 이 사건 정보유출과 같이 인증서버를 우회하는 방식의 해킹이 성공한 적이 없었던 상황”이라며 “KT가 인증서버에 저장된 접속기록을 확인한 이상 개인정보 관리·감독을 게을리했다고 보기 어렵다”고 덧붙였다.

이번 판결은 진행 중인 유사 사건에도 영향을 미칠 전망이다. 서울고법에선 가모씨 등 소비자 1862명과 최모씨 등 35명이 KT를 상대로 제기한 손해배상 청구 소송이 각각 진행 중이다. 두 사건 모두 1심에서 원고가 승소했으며 현재 2심에 올라가 있다. 그러나 이날 대법원 판결에 따라 소비자 측이 줄줄이 패소할 가능성이 높아졌다.

KT는 2013년 8월~2014년 2월 가입자 981만여 명의 개인정보를 해킹당한 사건과 관련해서도 소송을 당했지만 1·2심 모두 승소했고 상고심이 진행 중이다. 해당 사고와 관련해 방송통신위원회로부터 7000만원의 과징금을 부과받은 KT는 행정소송을 제기해 1심에서 승소했다. 당시 서울행정법원도 “해킹을 완벽하게 차단할 수 있는 기술은 없다”고 지적했다.

신연수 기자 sys@hankyung.com