대법원이 지난 2008년 중국인 해커의 공격으로 1800만명에 달하는 고객들의 개인정보가 유출된 인터넷 오픈마켓 '옥션'에 대해 배상 책임이 없다고 확정 판결했다.

이번 판결은 해킹으로 인해 고객의 개인정보가 유출됐지만, 불가항력적 외부침입을 막기 어려운 특수성을 인정해 업체측에 배상책임을 묻지 않은 대법원의 첫 판단이다. 이에 따라 향후 유사 소송에도 영향을 미칠 것으로 예상된다.

대법원 1부(주심 고영한 대법관)는 12일 간모씨 등 옥션 고객 2만2651명이 "개인정보 유출로 피해를 봤다"며 옥션을 운영하는 ㈜이베이옥션과 보안관리업체 인포섹을 상대로 낸 손해배상 청구소송 상고심에서 원고 패소 판결한 원심을 확정했다. 강모씨 등 1만566명이 제기한 다른 3건의 소송에 대해서도 옥션의 배상 책임이 인정되지 않았다.

고객들은 정보통신서비스제공자인 옥션이 자신들의 개인정보가 도난·누출되지 않도록 필요한 기술적·관리적 조치를 게을리 했다고 주장했지만 받아들여지지 않았다. 대신 해커의 공격을 불가항력적인 외부 침입이라고 본 원심의 판단을 정당한 것으로 인정했다.

대법원은 판결문에서 "옥션 해킹의 경우 그 수법이나 당시 보안기술 수준, 옥션이 취했던 보안조치의 내용과 수준 등을 고려하면 옥션이 '기술적·관리적 조치를 취해야 할 의무'나 '개인정보의 안전성을 확보하기 위해 필요한 보호조치를 해야 할 의무'를 위반했다고 보기 어렵다"고 밝혔다.

그러면서 "정보통신서비스는 '개방성'을 특징으로 하는 인터넷을 통해 이뤄지고 서비스 제공자가 구축한 네트워크나 시스템, 그 운영체제 등은 불가피한 취약점을 갖는다"며 "이로 인해 해커의 불법적인 침입에 노출될 수 밖에 없고, 완벽한 보안을 갖춘다는 것도 기술 발전 속도 등을 고려할 때 쉽지 않아 보인다"고 설명했다.

아울러 "해커 등은 여러 공격기법을 통해 보안조치를 우회하거나 무력화하는 방법으로 침입하고, 해커의 침입을 막기 위한 보안기술은 해커의 새로운 공격방법에 대한 사후적 대응으로 이뤄진다"며 "이와 같은 특수한 사정을 고려했다"고 덧붙였다.

옥션은 지난 2008년 1월 중국인 해커로부터 1800만명에 달하는 회원들의 이름, 주민등록번호, 주소, 전화번호, 아이디, 계좌번호 등 개인정보를 해킹 당했다. 이에 옥션 고객 14만6601명은 이베이옥션 등을 상대로 역대 최대 규모의 집단소송을 냈다.

1·2심은 "해킹 사고 당시 근본적으로 이 사건 해킹을 막지 못한 아쉬움이 일부 있지만 당시 옥션이 취하고 있던 각종 보안조치, 해킹 방지 기술의 발전 상황 및 해킹 수법 등에 비춰 옥션에 과실이 있다고 보기 어렵다"며 원고 패소 판결했다.

옥션이 평소 고객 개인정보를 보호하기 위한 주의를 게을리했다는 고객들의 주장에 대해서도 "옥션이 웹 방화벽을 설치하지 않은 것은 맞지만 이는 의무사항이 아니라 선택적 보안조치에 불과하고, 발견된 악성코드는 당시 통용되던 백신 프로그램으로는 탐지될 수 없었으며, 현재와 달리 당시에는 주민등록번호도 암호화 대상이 아니었다"며 옥션의 손을 들어줬었다.