 |
| 지난 2011년 7월 중국 해커에 의한 네이트·싸이월드 해킹 사건 당시 네이트가 게재한 사과문. |
지난 2007년 일어난 중국 해커의 네이트·싸이월드 해킹과 관련해 최근 법원이 피해자들이 제기한 손해배상 집단소송에서 원고 측의 손을 들어줬지만 SK컴즈 측에서 항소할 가능성이 높아 ‘소송 2라운드’에 관심이 모아지고 있다.
항소심에서는 SK컴즈가 개인정보 보호를 위한 주의의무를 다했다는 점에 대한 입증이 주요 쟁점이 될 것으로 보인다.
SK컴즈 측의 변호를 맡은 법률사무소 김앤장 관계자는 21일 아시아투데이와의 통화에서 “항소 여부에 대해 아직 밝히기 힘들다”고 말했다. 그러나 법조계 및 정보기술(IT)업계는 이번 원고 승소 판결이 확정될 경우 유사한 소송들이 잇따를 수 있다는 점에서 SK컴즈가 항소할 것으로 예측하고 있다.
게다가 재판부가 SK컴즈로 하여금 ‘고객들의 개인정보를 보호할 의무’가 있다고 명시했기 때문에 판결이 확정될 경우 향후 SK컴즈를 비롯한 포털사이트들이 부담해야 할 개인정보 보호의무가 과중해질 것이라는 우려도 항소 가능성에 무게를 싣고 있다.
SK컴즈가 항소를 강행할 경우 주요 쟁점은 1심에서 증명하지 못한 SK컴즈의 ‘침입탐지시스템 및 침입경고기준 운영의 적절성’과 서버 간 웹파일 송·수신 서비스인 ‘FTP(File Transfer Protocol) 이용의 불가피함’ 등의 입증이 될 것으로 보인다.
재판부는 당시 판결문에서 “(해킹 사건이 발생했던 당시) SK컴즈가 개인정보에 대한 불법적인 접근을 차단하기 위한 침입탐지시스템을 적절히 운영하지 못했다”고 밝혔다.
중국에서 해커가 SK컴즈 측의 개인정보 데이터베이스(DB)에 접속해 3500여명의 개인정보를 유출하는 동안 SK컴즈 측에서 이를 탐지하지 못해 경고 및 적절한 조치가 취해지지 않았다는 것이다.
재판부는 SK컴즈가 외부 침입에 따른 경고 시스템을 갖춘 점은 인정했지만 경고 발생 기준이 완화돼 있어 해킹 당시 개인정보가 대량으로 전송됐는데도 그것이 업무 수행에 따른 것인지 비정상적인 상황이 발생한 것인지를 확인할 수 없었을 정도로 보안조치가 미비했다고 판단했다.
따라서 항소심에서는 SK컴즈 측이 경고 발생 기준이 적절했으며 당시 해킹은 적절한 수준의 보호의무를 다했어도 감지할 수 없었다는 점을 입증하기 위해 통상 업무수행 과정에서 일어나는 트래픽 발생 추이 등을 공개할 것으로 보인다.
한편 해킹 당시 SK컴즈가 보안상 취약한 FTP서비스를 개인정보 접근 권한이 있는 컴퓨터 및 게이트웨이에 제공하고 있었다는 점에서 그 이유도 쟁점이 될 전망이다.
FTP서비스는 서버들끼리 웹파일 등을 대량으로 송·수신할 수 있는 서비스로, 공개된 웹페이지를 거치지 않아도 서버 계정에 직접 접근해 파일을 올리거나 내려 받을 수 있다는 점에서 민감한 정보를 다루기엔 보안상 취약하다는 평을 받는다.
재판 당시 SK컴즈 측은 게이트웨이에서 FTP 기능을 이용할 필요가 있었다고 주장했지만 증거 부족으로 받아들여지지 않았다. 따라서 SK컴즈는 게이트웨이에서 FTP 기능을 이용해야 했던 실질적인 증거와 이용 내역 등을 공개할 가능성이 높다.
한편 1심에서 SK컴즈 측의 주요 과실로 꼽힌 ‘개인용 알집’ 사용에 대해서는 원고와 피고 모두 이견이 없었던 데다 이스트소프트와의 저작권침해 문제가 불거질 수도 있기 때문에 2심에서 주요 쟁점으로 부각되진 않을 것으로 예상된다.
다만 SK컴즈가 항소를 제기할 경우에도 포털기업으로서 다해야 할 정보보호 의무를 회피한다는 지적은 피하기 어려울 것으로 보인다.
원고 측 변호를 맡은 김경환 법률사무소 민후 대표변호사는 “집안에 폭탄이 설치돼 있다면 폭발하지 않도록 주의해야 하는 건 당연한 의무”라며 “개인정보 유출사고는 갈수록 늘어나고 있기 때문에 기업 등에 책임소재를 명확히 할 필요가 있다”고 말했다.
