컨텐츠로 건너뛰기
검색
머니투데이 언론사 이미지

싸이월드·KT 털렸을 때 '0원'…'SKT 해킹' 피해자들, 손배 받을 수 있나

머니투데이 양윤우기자
원문보기

싸이월드·KT 털렸을 때 '0원'…'SKT 해킹' 피해자들, 손배 받을 수 있나

서울흐림 / 7.0 °
'SKT 해킹' 피해자들 집단 소송 추진

SK텔레콤이 사이버 침해 피해를 막기 위해 전국 2600여곳의 T월드 매장에서 희망 고객들을 대상으로 유심 무상 교체를 진행중인 28일 오후 서울의 한 T월드 매장에 유심 재고 소진 안내문이 게시되어 있다. /사진=뉴시스

SK텔레콤이 사이버 침해 피해를 막기 위해 전국 2600여곳의 T월드 매장에서 희망 고객들을 대상으로 유심 무상 교체를 진행중인 28일 오후 서울의 한 T월드 매장에 유심 재고 소진 안내문이 게시되어 있다. /사진=뉴시스


SK텔레콤(SKT)이 해킹 공격을 받아 가입자 유심(USIM) 정보가 유출된 사건과 관련, 피해자들이 집단 손해배상 청구 소송을 준비 중이다. 법원이 SKT가 개인정보 유출 방지를 위한 보호조치를 적절하게 하지 못했다고 인정하면 손해배상 청구가 받아들여질 가능성이 있다는 관측이 나온다.

28일 법조계에 따르면 지난 24일 한 포털사이트에 개설된 'SK텔레콤 개인정보 유출 집단소송' 카페 가입자는 나흘 만에 1만7000여명을 넘어섰다. 이들은 조만간 손해배상 청구 소송을 제기할 방침이다. 카페 운영진은 "유심 정보는 단순한 통신정보가 아니다"라며 "복제 핸드폰 개통, 보이스피싱, 금융 사기 등의 피해로 이어질 수 있는 심각한 개인정보 침해"라고 주장하고 있다.

향후 진행될 재판에서는 SKT가 보호조치 의무를 위반했는지 여부가 핵심 쟁점이 될 전망이다. 해킹이 단순히 고도화된 공격에 의해 불가항력적으로 발생한 것인지, 아니면 내부적으로 미비한 방어체계가 원인이었는지에 따라 법원에서 책임 범위를 판단할 가능성이 높다.

피해자를 대리하겠다고 밝힌 부장판사 출신 이정엽 법무법인 로집사 대표변호사는 "도로공사가 도로 안전에 상시 예산을 투입하고 즉각적인 보수 및 정비를 하는 것처럼 통신사도 도로공사와 같은 수준의 지속적 및 예방적 투자 의무를 이행했는지가 핵심 쟁점이 될 것"이라고 말했다. 이어 "불법 스팸 또는 보이스피싱이 만연함에도 통신사 측은 기술 및 관리적 조치를 충분히 취하지 않았다"며 "기존에 솜방망이 수준의 배상 및 처벌이 반복돼 왔기 때문에 결국 기업이 대규모로 보안에 투자하는 동인이 부족했다"고 강조했다.

이 대표변호사는 또 "국가안보에도 영향을 미칠 사안으로 가능한 최대한 강력한 법적 대응을 하겠다"며 "미국 등 해외 사례와 비교했을 때 이 정도 수준의 해킹이라면 통신사가 망할 정도의 배상책임이나 처벌을 각오해야 한다"고 했다.

과거 대규모 개인정보 유출 사건 판례에 비춰 볼 때 손해배상 청구가 받아들여지지 않거나 받아들여지더라도 미미한 수준의 배상액이 나올 수 있다는 시각도 적지 않다. 한 법조계 관계자는 "정보통신사업자들이 요구되는 보안 조치를 취했고 현실적인 한계 내에서 해킹을 막기 위한 합리적 노력을 다한 경우 법원은 해킹으로 인한 정보 유출에 대한 배상책임을 사업자에 묻기는 어렵다는 견해를 갖고 있다"고 밝혔다.


정보기술(IT) 분야 전문가인 구태언 법무법인 린 테크그룹 총괄 변호사도 "현재 단계에서 SKT의 손해배상 책임 성립을 단정하긴 어렵다"며 "배상 책임이 인정되려면 SKT가 개인정보 보호법상 '안전조치 의무'를 위반했음이 입증돼야 하는데 아직 관련 조사가 진행 중이고 사실관계가 확정되지 않았다"고 말했다. 이어 "SKT가 당시 기술적 수준에서 예상하기 어려운 공격에 노출된 경우 책임이 경감될 여지도 있다"며 "최종 판단은 구체적인 조사 결과와 법원의 평가를 통해 이뤄질 것"이라고 했다.

실제 2011년 중국 해커의 서버 침입으로 네이트와 싸이월드 회원 3490여만명의 아이디(ID)· 비밀번호·주민등록번호·성명·생년월일·이메일 주소·전화번호·주소 등이 유출됐다. 피해자들은 재산적·정신적 손해를 입었다며 SK커뮤니케이션즈를 상대로 1인당 30만원씩을 청구하는 손해배상 소송을 냈다. 1·2심과 대법원은 사측이 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 보기는 어렵다고 판단하고 기업의 책임을 부정했다.

2012년 해커에 의해 KT 가입자 870만명의 개인정보가 유출된 사건도 1심 법원은 1인당 10만원 배상을 인정했지만 2심은 'KT가 기술적·관리적 보호조치 기준을 어겼다고 보기 어렵다'는 이유로 판결을 뒤집었다. 대법원도 2018년 KT에 손해배상 책임이 인정되지 않는다고 결론을 내렸다.


법원은 개인정보 유출 사건에서 기업의 과실 및 위법성을 인정해야 손해배상 책임을 인정한다. 입증의 책임도 원칙적으로는 원고인 피해자에게 있다. 따라서 이 사건을 조사하고 있는 개인정보보호위원회(개보위)의 조사 결과가 재판에 큰 영향을 줄 전망이다. 개보위는 구체적 유출 경위와 피해 규모, 안전조치 의무 이행 여부, 유출 통지·신고 의무 준수 여부 등 개인정보보호법 위반 사항 전반을 들여다보고 있다.

양윤우 기자 moneysheep@mt.co.kr

ⓒ 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지

info icon이 기사의 카테고리는 언론사의 분류를 따릅니다.