피해고객이 낸 손배소 2건 모두 원고 패소 취지 판결 “보안 시스템 불완전하거나 의무 위반 볼 수 없어”
2014.3.6/뉴스1
대법원이 2012년 발생한 KT 개인정보 유출 사고에서 KT가 개인정보 관리·감독을 게을리했다고 보기 어렵다는 등 이유로 정보가 유출된 고객들에게 손해를 배상할 책임이 없다는 취지의 판결을 내렸다.
대법원 1부(주심 권순일 대법관)는 28일 KT 개인정보 유출사고 피해자들이 회사를 상대로 낸 손해배상 청구소송 2건 중 1건에 대해 원고 패소 판결한 원심을 확정했다. 원고 일부승소 판결한 나머지 1건은 원심을 깨고 원고 패소 취지로 사건을 서울중앙지법 민사항소부에 돌려보냈다.
2012년 KT 고객정보 1000만건 이상이 대거 유출됐다. 해커 2명이 고객정보를 몰래 조회할 수 있는 프로그램을 만들어 이름과 주민등록번호, 요금제 등 개인정보를 빼냈으나 KT는 5개월간 유출사태를 파악하지 못하다 뒤늦게 경찰에 수사의뢰했다.
두 소송 모두 1심에선 “KT가 한 사람당 10만원씩을 지급하라”고 원고 일부승소 판결했다. 퇴직자의 개인정보시스템 접근권한 변경, 말소의무, 개인정보처리시스템 접속권한 확인, 감독의무를 게을리하는 등 KT측 과실을 인정한 것이다.
그러나 이들 소송의 2심 판단은 엇갈렸다.
A씨 등이 낸 소송 2심에선 “KT가 개인정보 유출방지에 관한 기술적·관리적 보호조치를 이행하지 않은 과실로 사고가 발생했다고 보기 어렵다”며 1심을 깨고 원고 패소 판결했다.
KT가 퇴직자 계정 접근권한을 말소하지 않아 해커들이 이를 이용해 사고가 났다는 A씨 등의 주장에도 “다른 계정도 사용돼 KT가 퇴직자 계정을 말소하지 않았대도 그것과 사고발생은 인과관계가 없다”고 배척했다.
대법원은 “두 소송 2심이 모두 인정했듯 별도 인증서버를 둔 KT의 접근통제시스템 자체가 불완전하다거나, KT가 개인정보 등 송수신시 암호화 의무를 위반했다고 볼 수 없다”면서 “퇴직자 계정폐기 여부와 사고 사이 인과관계도 인정하기 어렵다”고 A씨 등이 낸 소송의 원심 판단이 옳다고 봤다.
이는 정보통신서비스 제공자가 개인정보보호를 위한 법률상 또는 계약상 의무를 위반했는지 판단할 때 Δ해킹사고의 경우 당시 일반적으로 알려진 정보보안 기술 수준 Δ전체적 보안조치 내용 Δ해킹기술 수준과 정보보안기술 발전 정도에 따른 피해발생 회피 가능성 등을 종합고려해야 한다는 것을 다시 한 번 확인한 판결이다.
(서울=뉴스1)