옥션 해킹 이후 불거진 개인정보 관리 부실에 따른 업체들의 책임이 어느 정도여야 하는가에 대한 판결이 나왔다.
결론은 옥션을 상대로 낸 집단 손해배상을 낸 원고 측의 패소였다.
서울중앙지법 민사합의21부(임성근 부장판사)는 지난 14일 개인정보 유출로 피해를 봤다며 옥션을 상대로 한 회원들이 제기한 손해배상 청구소송에서 원고 패소 판결했다.
재판부는 "정보통신망 서비스 제공자에게 해킹으로 개인정보가 도난당한 것에 대한 책임을 지게 하려면 제공자가 해킹방지 의무를 위반해 이를 예방하지 못한 경우에 한해야 한다"며 "옥션이 관련법에 정해진 기준을 어겼다고 볼 근거가 없다"고 했다.
더구나 "옥션이 방화벽을 설치하지 않았다고 주장하지만, 이는 법이 정한 의무가 아니며 당시 다수 업체가 방화벽을 신뢰하지 않아 이용하지 않았던 점을 고려하면 잘못이 있었다고 보기 어렵다"고 말해 옥션에 책임을 물을만한 근거가 없다는 취지의 결정을 내렸다.
재판부는 법이 요구하는 기술적 보안 수준과 해킹 당시 조치 내용, 해킹 기술의 발전 정도, 해킹 방지에 필요한 비용, 이용자의 피해 정도를 판단 기준으로 제시했으며 "해킹을 막지 못한 아쉬움이 있으나, 옥션에 과실이 있는 것으로 볼 수 없다"고 밝혔다.
그만은 이 사건과 관련된 내용은 몇 차례에 걸쳐 본질에 주목하라며 아래와 같이 주장한 바 있다.
2008/09/09 '과다 정보 저장'이 개인정보 침해 주범2008/05/01 개인정보 유출, 원인은 과도한 실명제?2008/04/22 해킹한 개인정보가 거래되는 사회2008/04/18 걱정마세요. 이미 우리 정보는 다 유출돼 있으니2008/03/06 옥션 해킹 사건 후폭풍, 집단 소송 위기그리고
2008/02/11 사이버 인질극에 대처하는 우리의 자세자신들이 보관중인 고객들의 개인정보가 누군가로부터 해킹을 당해 도난당했다면 얼른 고객들에게 알리고 보완 조치를 취하는 것은 옳다. 그것도 개인정보 침해 수준이 높을 수 있다는 점을 인지하게 된다면 반드시 '빠르게, 즉시' 고객들에게 개인정보 유출에 대한 고지를 하는 것이 옳지 않은가.
개인정보의 원주인 역시 피해자이겠지만 도둑을 당한 옥션도 당사자라고 할 수 있다. 그럼에도 가해자는 놔두고 피해자들끼리 소송을 거는 모습이 심히 못마땅했다. 그렇다고 옥션을 일방적으로 두둔하기도 힘들었지만 우루르 몰려들어 집단소송을 주도하는 법무 법인의 행태가 그리 고와보이진 않았다.
옥션 해킹과 집단 소송 판결이 주는 교훈을 대신해 이 사건 발생 초기에 적었던 마무리 글을 그대로 인용한다. 잘못을 고백하는 자가 나쁜가 끝까지 쉬쉬하는 자들이 나쁜가! 단연코 숨기려고만 하는 이들이 오히려 소송감 아닌가.
비록 고객 정보 유출 단서와 징후를 발견한 뒤 뒤늦게 공지했다는 비난이 일고 있지만 옥션의 자발적 공지는, 수사 결과 발표를 기다리며 자신들의 책임을 뒤로 미루는 기업들과 다른 모습인 것은 분명하다.
해커와 같은 범법자에게 금품을 제공하고 사건을 무마한다거나 해킹 징후를 발견하고 대외적으로 쉬쉬하는 국내 기업 풍토 속에 쉽지 않은 자발적 공지를 감행한 옥션 경영진에게 박수를 보낼 수 있어야 한다. 당장의 기업 이미지 실추를 막기 위해 사이버 인질범들에게 거액을 움켜주는 행동은 범죄인들을 안심시키고 숨겨주는 것이므로 범죄 이상으로 나쁜 행동이라는 점을 이번 기회에 다시 한 번 강조하고 싶다.
* 아 이버즈에서 이 글을 송고했군요. ^^; 익명의 피해자 여러분께서 오셔서 항의해주셨네요. 역시 본질은 어디 가고 일단 옥션 족치고 보자는 의견이신 거 같네요. 네, 옥션 족치죠. 반대하지 않습니다. 그래서 받아낼 것이 무엇인지 몰라도 일단 옥션의 잘못에 대해 지적하는 거 찬성합니다. 근데 그거야 개나 소나 아무나 다 할 수 있는 일이라 저는 가담할 생각이 없구요. 제가 옥션이 잘했다고 했나요?
제가 주목한 것은 일이 벌어지고 난 다음의 옥션의 태도는 다른 해커와 타협하려는 이들과 쉬쉬 숨기려는 이들보다 그나마 낫다는 것이구요. 그리고 다들 얼굴 모르는 해커를 잡아들이지 못하는 당국에 대해서는 일언반구 한 마디를 안 하시네요. 그것 때문에 이 글을 쓰는 겁니다. 그리고 민간 업자들에게 개인정보를 과다하게 보유하게끔 유도하는 당국에게도 문제가 있다고 하는 겁니다.
서로 흥분하지 않고 생각해보면 이 사건 자체가 갖는 함의는 참 많습니다. 그 가운데 몇 가지를 드러낸 것이구요. 흑백 논리나 양자 택일 논리로 보지 않길 바랍니다. 욕하러 들르신 여러분의 댁내에도 평안함이 깃드시길 바랍니다. 감사합니다.
댓글을 달아 주세요
우리나라의 인터넷 실명제와 관련해서 주민등록번호를 수집할 수 밖에 없다는 점과 그럼에도 불구하고 관련 법령에 수집한 정보를 저장하는데 필요한 보안 요건에 대해 정해 놓은 것이 없다는 것 둘다 문제라고 생각합니다.
2010/01/15 16:22수시로 변화는 보안에 관한 기술적인 문제를 일일히 법령으로 정해버린다면 오히려 그 경직성으로 인해 부작용이 있을 수 있겠지만, 방화벽 사용, 데이터 암호화 등 큰 틀의 기본적인 의무는 지워야 앞으로 유출 사고가 있을 때 고객 자료 관리를 잘못한 것에 대한 법적인 책임을 지울 수 있겠죠.
거기다 덤으로 옥션과 같이 개인 정보 유출에 대한 공지를 하지 않고 감추려고 하다 들켰을 때 강력한 처벌 조항도 추가했으면 좋겠습니다.
해커들을 잡아들여야 하고 중간에 관리 못한 사람들도 족쳐야 하고 사용자도 조심해야 하는 것이 맞습니다.
2010/01/16 22:42하지만 금고 안에 귀한 것을 넣어두지 않으면 금고가 털린다고 아쉬울 건 없겠죠.
주민번호 등 과다한 정보를 요구하는 것을 이제 멈춰야 합니다. 주민법호는 국가가 관리하는 개인식별 번호에 불과한데 이를 인증번호로 삼는 것 자체가 문제라고 봅니다.
금고 안에 귀한 것을 넣어두지 않으면 금고가 털린다고 아쉬울 건 없겠죠 <- 그럼 금고를 털린 주인도 피해자라는 말인데, 인터넷이라고 글을 쓰기 전에는 생각을 좀 하고 쓰세요 ㅉㅉ
2010/06/29 14:55트위터에서 우연히 보고 반가워서 접속해봅니다.
2010/01/15 17:29블로그 접은지 오래되어서 최근에 다시 트위터 하는데.
거기에 계시더군요.
전 @ssueim 입니다.
어쩐지 그동안 안 보이셨군요. ^^ 반갑습니다. 블로그 하냐 안 하냐가 뭐 중요하겠습니까. 어디선가 연결선 하나만 있어서 함께 살아가는 동지가 되는 세상인걸요. ^^
2010/01/16 22:43변호사만 때돈? 벌었죠..
2010/01/17 19:21저 소송을 광고하고 부추긴것도 변호사 본인이고..
권리를 침했다고 생각하면 행동을 취하는 것이 맞다고 봅니다. 이 사건에서 피해자끼리 볼썽사납게 대립하는 모습을 보면서 솔직히 뒤에서 미소 지을 해커가 너무 얄밉더군요. 전 변호사들은 그들의 역할을 했다고 봅니다.
2010/01/18 18:37저도 IT쪽에서 일하는 사람입니다만..
2010/01/18 12:04방화벽은 가장 쉽고 경제적인 1차 방어 수단 입니다. 어떻게 방화벽이 당시에 신뢰할 수 없다고 법원을 설득했는지 이해가 안가는군요. 방화벽이 제 기능을 하든 못하든, 설치를 한다고 해서 서버의 서비스에 영향을 끼치는 일은 없습니다. 최소한 설치해 놓아서 손해볼 일은 없다는 거죠. 은행에서는 해킹을 당하거나 비밀번호를 누가 도용해서 돈을 빼서쓰면 보상을 해줍니다. 만약 이런식의 법률 잣대라면 은행도 보안에 대한 책임을 해커에게 미룰수 있겠죠.
저도 '법대로'를 외치면 이렇게 되는구나 하는 생각을 하게 되네요. 어쨌든 옥션의 무심한 방어체계가 원인이었던 것도 사실인 거 같습니다. 추후 어떻게 될지 궁금하네요. 이 판결이 완결된 것은 아니니까요.
2010/01/18 18:38방화벽이야말로 그당시로 봐선 해킹에 대한 최소한의 조치라고 볼수있습니다.
2010/01/18 13:52최소한의 조치도 하지 않고... 그저 늦은 공지와 앞으로 잘하겠다라는 말로만 때우려는 옥션에 대하여 박수를 보낸다는 말씀... 참 공감하기 어렵네요~
방화벽을 설치한 후 해킹을 당했다... 그렇다면 전 소송제기를 안했을겁니다!!
정보관리의 책임은 당연히 옥션에 있겠지만 불가항력적인 사항은 어쩔 수 없는거 아니겠습니까??
그러나, 옥션의 경우에는 은행들 개인정보를 다루는 기업들의 경우와 다르게 방화벽 설치를 미루는 등 (돈이 들어가는 사항이니...) 정보관리의 책임을 게으르게 한것은 사실이 아닙니까?? 전 윗 글을 보고 갑자기 울컥해서... 항소 해볼랍니다~ ㅜㅡ;;
오늘 오전까지만 해도 "머 우리사회가 그렇지... 하고 항소 포기하려고 했는데"
오히려 이런 블로그에 쓰인 기사들같은 글들이 나오지 않기 위해서라도 항소 해야겠네요~
한가지 더 말씀드린다면.... 여행사에서 보험사를 믿지 못하겠다고 고객들에게 알리지 않고 보험을 안들었다가...
2010/01/18 13:59사고가 나면 누구 책임인가요?? 보험사?? 아님, 여행사?? 아니면...사고를 낸 사람??
지금은 전적으로 고객한테 책임을 지우는 상황이네요~
사고를 낸 사람도 물론 잡아서 처벌을 해야겠지만... 지금은 뺑소니나 마찬가지인거고~
1차적으로는 보험을 들지 않은 여행사 책임 아니겠습니까??
특히 그 여행사가 굴지의 대기업이라고 한다면, 고객들은 당연히 보험처리가 된다고 생각하겠죠~ 기존에 작은 여행사들이나 다른 곳들도 마찬가지로 보험처리를 하는건 기본이니까요~
사고가 나서 고객들에게 나몰라라 하는 그런 여행사는 망해야 하는거 아닙니까??^^;;
앞으로 잘하겟다라니...참... 사람죽여놓고 앞으론 안그럴께 하는거랑 머가 다른건지...
네, 모두 이해하고 저도 동감입니다. 옥션을 두둔하는 것이 아니라 저는 문제의 본질을 다른 곳에서 찾고 있습니다.
2010/01/18 18:43어찌됐든 이번 피해자들은 어떤 식으로든 보상을 받아야 하는 것도 맞습니다. 그리고 이것저것 예를 드셨는데 딱히 모두 적절한 것 처럼 보이진 않지만 이해 못하는 것도 아닙니다. 제가 정말이지 님의 의견의 대척점에 서 있는 것도 아니구요.
다만 위의 글 말미에 덧붙였듯이 저는 본질적으로 우리나라 사이트들의 과도한 개인정보 보유와 해킹 사고에 대해 무조건적으로 숨기는 사회 현상에 문제 제기를 한 것입니다. 아.. 정말 이거 아니면 저거라는 사고 참 많군요.
당신이 하는 말에 수없는 오류를 범했다는 것은 알고 있나요?
2010/01/18 14:48개인정보가 쉬쉬할 일이 아니라면 수없이 팔려나가는 개인정보가 정상적이라는 것입니까?
옥션이 도둑질을 당했다. 도둑질은 그지 같은 곳에서 합니까? 그만큼 도둑질을 하면서 돈이 될 수 있는 곳에서 도둑질을 하겠죠, 옥션은 그 대상입니다. 신상을 보호할 의무가 있죠. 관리할 여력이 안된다면 비회원 구매를 시켜야죠. 고객의 충성을 유지하기 위해 만들은 회원제 도입이라면 그 회원에게 피해가지 않도록 보호해야 할 이유가 있습니다. 결국 그들은 독과점의 인터넷마켓임에도 불구하고 신상에 대한 투자는 소홀했다는 겁니다. 몇만명의 피해자들을 당신에 눈처럼 부정적으로 본다면 언제쯤 우리는 개인정보의 피해에서 자유로울 수 있을까요? 당신의 명의들이 인터넷에 떠돌고 돌아 악용된다면 과연 옥션 경영진에게 박수를 보낼 수 있을까요? 그들이 자발적으로 할 수밖에 없는 상황이었고 해커들에게 뒷돈 안주고 법원에 뒷돈 후려 쳤을지는 아무도 모르는거 아닙니까?
혐의는 인정하는데 죄가 없다.... 그럼 결국 조금씩 잘못하는건 아무런 죄가 없다는 것이 성립되는데 이것이 진정으로 정상적인 재판결과입니까?
당신같이 개인정보를 쉬쉬하는 자는 결국 당합니다. 당신이 한말이 후회될정도로..
이건 승패소를 가릴 것 보다 기자라는 사람이 객관적 문제를 쉬쉬하고 주관적으로 일기 쓰듯 글쓰는 것을 보니 답답하고 한심하네요.. 더욱이 IT관련 언론에서 이런 글이 나오다니...
당신은 정말 당신이 쓴 글중 가장 한심한 글을 쓴겁니다. 세상을 뒤집어 생각하는 건 좋습니다. 개념은 가지고 뒤집어 주세요. 당신이 생각하는 속물없는 소송자는 14만명중 1명도 안되니까요.
좀 흥분 상태에서 쓰신 거 같은데요. 위의 답글로 갈음하겠습니다. 감사합니다.
2010/01/18 18:45이분은 기자가 아니고 일반 개인이 블로그에 그냥 자기 생각을 쓴거죠.
2010/06/29 14:53논리가 타당하지 못하고, 전혀 설득력이 없지만 그렇다고 쓰레기 기사라고 까지 할 필요는...
믿고 맡겨 달라는 사이트에서 개인정보를 말 그대로 도난당했는데
2010/01/18 15:441차적 책임은 해킹범에게 있지만 2차적 책임은 해킹피해자에게 있다 이건데
원래 개인정보가 나돌아 다닌다고 해킹당해봤자 거기서 거기라는 논리만 보이는
정말 한심한글 이런 기사가 메인에 올라가다니 정말 한심할따름
제 글이 심히 불쾌하셨나봅니다. 제 글이 잘코사니 처럼 보였을 수도 있겠군요. 어쨌든 의견 잘 청취했습니다. 문제의 본질에 접근하는데 있어서 부족한 부분이 있었나 봅니다. 제 생각은 위의 답변과 본문의 덧글로 갈음합니다.
2010/01/18 18:47이거 해킹이후에 스팸없던 이메일에 스팸이 쌓이고 핸드폰엔 바다이야기/대출/대리 스팸이 줄줄이 오더군요? 당신은 피해를 입지 않았다고 막 꼴리시는대로 적는가보는데 그 피해를 당하는 사람에게 관리책임자를 처벌할 권리가 있다고 생각은 안하시나요 ㅡㅡ?
2010/03/25 23:28저도 당했는걸요. 처벌하세요. 말리지 않을테니. 그래서 무엇을 얻으실 건가요?
2010/03/26 22:16누구편이야
2010/03/28 18:38귀가막히네요
위기관리를 공부하는 사람입니다.
2010/04/26 05:58사례로서 찾아보다가 이글을 접하게 되었는데요.
그만님께서도 옥션의 대응에 대한 공중들의 의견차가 심하다는 것을 인지하셨을 겁니다.
일반적으로 홍보/IT 전문가 분들의 의견은 이례적으로 개방적인 좋은 사례라고 보고, 소비자/IT 공중의 이견은 무보상에 대한 말도안되는 처사다라는 내용을 말입니다.
발빠른 초기 대응과 사이버 인질극에 개방적인 태도를 보였다는 점에 주목한 면이 있었습니다. 그렇지만 직접적인 피해를 입은 소비자에게는 '적극적이며 적절한 보상을 검토중입니다'라는 말 뿐이었습니다. 법정 공방 때, 옥션 또한 피해자이며 배상을 할 의무는 없다라고 주장하는 옥션의 모습을 보면서 소비자가 느끼는 감정은 무엇이었을까요? 소비자 입장을 돌보지 못한 점이 있습니다.
그만 님의 개방적인 대응에 관한 글은 흥미로웠으며 전적으로 동의합니다. 그러나 이례적인 행동을 커뮤니케이션 행동의 전부인 듯 표현하신 부분에는 많은 아쉬움이 남습니다.
"비록 고객 정보 유출 단서와 징후를 발견한 뒤 뒤늦게 공지했다는 비난이 일고 있지만 옥션의 자발적 공지는, 수사 결과 발표를 기다리며 자신들의 책임을 뒤로 미루는 기업들과 다른 모습인 것은 분명하다." 그만 님께서 위 글에서 쓰신 본문을 인용하고자 합니다.
옥션의 자발적 공지는 사측의 책임을 뒤로 미루는 그전의 기업들과 크게 다르지 않았습니다. 그 공지에 기업업의 '사과'는 있었지만 '책임'은 없었습니다. '사과' 와 '책임'은 엄연히 다릅니다. 이 책임 미루기는 현재까지 계속되고 있습니다. 공중은 '보상' 즉 '책임'을 원합니다.
하지만 옥션측에서 그 책임을 감당하기에는 심히 버거워 보입니다. 연매출 20억원의 회사에 100억원 이상의 소송이 진행 되었으니 이는 회사의 존패가 걸린 법적 문제로 취급되었다고 생각됩니다. 고객과의 커뮤니케이션 관계보다 기업생존의 문제일 수 있습니다.
그렇다고 '우리는 법적의무를 다했다, 우리도 피해자다' 라는 발언으로 '책임'회피의 모습을 보였는데, 소비자들이 기분 좋을리 없을 겁니다. 또한 그러한 옥션의 대응이 좋았다고 박수를 치는 글이 있다면 소비자들은 분노하고 발끈하는 것은 당연합니다.
소비자들도 압니다. 옥션의 불가항력을... 해킹이란 의미를... 보상의 어려움을...
이해는 하지만 '피해의식'을 가지고 있기에 무엇인가 합당한 '보상'을 원합니다...
자신이 받은 피해에 대한 합리화를 시켜야 하는데 그에 대한 조치가 아무것도 없다는 것에 분개하는 것입니다...
이 조치에 대해 한 변호사가 '소송'이라는 문제로 해결안을 제안했습니다.
옥션에서 찾아보겠다는 '적절한 보상'을 한 개인변호사가 먼저 들고 나온 것입니다.
그렇습니다. 옥션의 사건에 대한 조치와 대응은 빨랐습니다만, 직접적인 피해자(개인정보유출피해자)들과의 대응에는 노력하지않았다고 볼 수 있습니다.
위에서 한 변호사가 '물질적인 보상'을 들고 나왔지만, 그 보상을 꼭 물질적인 것으로 잡지 않을 수도 있습니다. '심리적인 보상'이나 '사회적인 보상'으로 그 방법만 달리 제안했어도 충분 했습니다.
물론 그 방법에는 좀 더 많은 연구가 필요하다고 생각합니다. 개인적으로는 '보완업체의 후원'과 '보완전문가 육성산업 지원' 등으로 이미지 쇄신을 했으면 어땠을가라는 생각을 합니다.
'옥션이 해킹을 당했을 때처럼 지금 옥션이 고객에게 보상할 수 있는 능력이 되지않습니다. 그렇지만 평생갚아야 하는 빛이라 생각하고 향후 고객님의 정보를 지키는데에 사회적인 책임을 다하겠습니다' 라는 사회적 책임 = 보상론으로 말입니다.
변호사가 제시한 '물질적인 돈 몇푼' 보다 '정말로 책임을 다하고 믿음을 주는 사회적인 기업'을 더 선호하리라 확신합니다.
물론 제 의견도 전체가 아닌 부분일 수 있습니다. 하지만 간과하기에는 너무나도 큰 부분입니다. 부디 그만 님 또는 다른 어떤 분께서 모든 의견을 종합해서 객관적인 사례정리를 해 알려졌으면 좋겠습니다.
- 위기사례를 공부하는 사람
좋은 댓글입니다. 좋은 지적이구요. ^^ 많은 부분 동의합니다.
2010/04/26 11:43단건으로 본 옥션의 사례는 말씀 하신 내용대로 옥션의 일부 긍정적인 선제적인 고백과 함께 후속 조치 미흡이라는 내용이 뒤섞이면서 고객들의 불만이 고조돼 있고 법적인 공방으로 이어지면서 책임 소재 찾기로 인한 감정적인 소비가 계속되고 있는 것이지요. 이 글의 댓글에서 보여지는 '내편 니편'식의 감정적 토로 같은 것 말이지요. ^^
저는 이 부분을 사실은 옥션의 단건 사례에 주목하기보다 자신들의 해킹 피해 사실을 숨기는 것에서 안도하는 많은 포털과 국내 타 사이트에 대한 비도덕적인 비판을 가하고 싶었던 것이지요. 따라서 논점이 타 사이트에 대한 광범위한 비판이 이어지다보니 오히려 옥션의 초기 대응이 타 사이트의 무조건적인 부정과 당국의 비확인 비공개 원칙보다 낫다는 흐름으로 갔다는 점 인정합니다.
지적하신대로 옥션 단건으로 이야기를 가자면 옥션의 초기의 결정은 존중하지만 이후 옥션의 오락가락 행보와 그에 따란 갖가지 비합리적인 홍보의 방향성, 기성 언론과의 묘한 관계 설정 등이 종합적으로 파악되어야 할 것으로 봅니다.
말씀하신 내용들 가운데 솔루션에 대한 메시지 전환 기법은 매우 훌륭한 방법인 듯 싶습니다. 하지만 지금 당장 법적인 공방 속에 있는 기업이 '면피한다'는 공격에 취약할 수밖에 없을테니 그것도 참 애매한 구석이 있습니다.
어쨌든 저도 이 건과 관련하여 최근 관심이 많이 떨어져 있었는데 여러모로 생각할 기회를 주시네요. ^^ 감사합니다.