옥션 해킹 이후 불거진 개인정보 관리 부실에 따른 업체들의 책임이 어느 정도여야 하는가에 대한 판결이 나왔다.
결론은 옥션을 상대로 낸 집단 손해배상을 낸 원고 측의 패소였다.
서울중앙지법 민사합의21부(임성근 부장판사)는 지난 14일 개인정보 유출로 피해를 봤다며 옥션을 상대로 한 회원들이 제기한 손해배상 청구소송에서 원고 패소 판결했다.
재판부는 "정보통신망 서비스 제공자에게 해킹으로 개인정보가 도난당한 것에 대한 책임을 지게 하려면 제공자가 해킹방지 의무를 위반해 이를 예방하지 못한 경우에 한해야 한다"며 "옥션이 관련법에 정해진 기준을 어겼다고 볼 근거가 없다"고 했다.
더구나 "옥션이 방화벽을 설치하지 않았다고 주장하지만, 이는 법이 정한 의무가 아니며 당시 다수 업체가 방화벽을 신뢰하지 않아 이용하지 않았던 점을 고려하면 잘못이 있었다고 보기 어렵다"고 말해 옥션에 책임을 물을만한 근거가 없다는 취지의 결정을 내렸다.
재판부는 법이 요구하는 기술적 보안 수준과 해킹 당시 조치 내용, 해킹 기술의 발전 정도, 해킹 방지에 필요한 비용, 이용자의 피해 정도를 판단 기준으로 제시했으며 "해킹을 막지 못한 아쉬움이 있으나, 옥션에 과실이 있는 것으로 볼 수 없다"고 밝혔다.
그만은 이 사건과 관련된 내용은 몇 차례에 걸쳐 본질에 주목하라며 아래와 같이 주장한 바 있다.
2008/09/09 '과다 정보 저장'이 개인정보 침해 주범
2008/05/01 개인정보 유출, 원인은 과도한 실명제?
2008/04/22 해킹한 개인정보가 거래되는 사회
2008/04/18 걱정마세요. 이미 우리 정보는 다 유출돼 있으니
2008/03/06 옥션 해킹 사건 후폭풍, 집단 소송 위기
그리고
2008/02/11 사이버 인질극에 대처하는 우리의 자세
자신들이 보관중인 고객들의 개인정보가 누군가로부터 해킹을 당해 도난당했다면 얼른 고객들에게 알리고 보완 조치를 취하는 것은 옳다. 그것도 개인정보 침해 수준이 높을 수 있다는 점을 인지하게 된다면 반드시 '빠르게, 즉시' 고객들에게 개인정보 유출에 대한 고지를 하는 것이 옳지 않은가.
개인정보의 원주인 역시 피해자이겠지만 도둑을 당한 옥션도 당사자라고 할 수 있다. 그럼에도 가해자는 놔두고 피해자들끼리 소송을 거는 모습이 심히 못마땅했다. 그렇다고 옥션을 일방적으로 두둔하기도 힘들었지만 우루르 몰려들어 집단소송을 주도하는 법무 법인의 행태가 그리 고와보이진 않았다.
옥션 해킹과 집단 소송 판결이 주는 교훈을 대신해 이 사건 발생 초기에 적었던 마무리 글을 그대로 인용한다. 잘못을 고백하는 자가 나쁜가 끝까지 쉬쉬하는 자들이 나쁜가! 단연코 숨기려고만 하는 이들이 오히려 소송감 아닌가.
* 아 이버즈에서 이 글을 송고했군요. ^^; 익명의 피해자 여러분께서 오셔서 항의해주셨네요. 역시 본질은 어디 가고 일단 옥션 족치고 보자는 의견이신 거 같네요. 네, 옥션 족치죠. 반대하지 않습니다. 그래서 받아낼 것이 무엇인지 몰라도 일단 옥션의 잘못에 대해 지적하는 거 찬성합니다. 근데 그거야 개나 소나 아무나 다 할 수 있는 일이라 저는 가담할 생각이 없구요. 제가 옥션이 잘했다고 했나요?
결론은 옥션을 상대로 낸 집단 손해배상을 낸 원고 측의 패소였다.
서울중앙지법 민사합의21부(임성근 부장판사)는 지난 14일 개인정보 유출로 피해를 봤다며 옥션을 상대로 한 회원들이 제기한 손해배상 청구소송에서 원고 패소 판결했다.
재판부는 "정보통신망 서비스 제공자에게 해킹으로 개인정보가 도난당한 것에 대한 책임을 지게 하려면 제공자가 해킹방지 의무를 위반해 이를 예방하지 못한 경우에 한해야 한다"며 "옥션이 관련법에 정해진 기준을 어겼다고 볼 근거가 없다"고 했다.
더구나 "옥션이 방화벽을 설치하지 않았다고 주장하지만, 이는 법이 정한 의무가 아니며 당시 다수 업체가 방화벽을 신뢰하지 않아 이용하지 않았던 점을 고려하면 잘못이 있었다고 보기 어렵다"고 말해 옥션에 책임을 물을만한 근거가 없다는 취지의 결정을 내렸다.
재판부는 법이 요구하는 기술적 보안 수준과 해킹 당시 조치 내용, 해킹 기술의 발전 정도, 해킹 방지에 필요한 비용, 이용자의 피해 정도를 판단 기준으로 제시했으며 "해킹을 막지 못한 아쉬움이 있으나, 옥션에 과실이 있는 것으로 볼 수 없다"고 밝혔다.
그만은 이 사건과 관련된 내용은 몇 차례에 걸쳐 본질에 주목하라며 아래와 같이 주장한 바 있다.
2008/09/09 '과다 정보 저장'이 개인정보 침해 주범
2008/05/01 개인정보 유출, 원인은 과도한 실명제?
2008/04/22 해킹한 개인정보가 거래되는 사회
2008/04/18 걱정마세요. 이미 우리 정보는 다 유출돼 있으니
2008/03/06 옥션 해킹 사건 후폭풍, 집단 소송 위기
그리고
2008/02/11 사이버 인질극에 대처하는 우리의 자세
자신들이 보관중인 고객들의 개인정보가 누군가로부터 해킹을 당해 도난당했다면 얼른 고객들에게 알리고 보완 조치를 취하는 것은 옳다. 그것도 개인정보 침해 수준이 높을 수 있다는 점을 인지하게 된다면 반드시 '빠르게, 즉시' 고객들에게 개인정보 유출에 대한 고지를 하는 것이 옳지 않은가.
개인정보의 원주인 역시 피해자이겠지만 도둑을 당한 옥션도 당사자라고 할 수 있다. 그럼에도 가해자는 놔두고 피해자들끼리 소송을 거는 모습이 심히 못마땅했다. 그렇다고 옥션을 일방적으로 두둔하기도 힘들었지만 우루르 몰려들어 집단소송을 주도하는 법무 법인의 행태가 그리 고와보이진 않았다.
옥션 해킹과 집단 소송 판결이 주는 교훈을 대신해 이 사건 발생 초기에 적었던 마무리 글을 그대로 인용한다. 잘못을 고백하는 자가 나쁜가 끝까지 쉬쉬하는 자들이 나쁜가! 단연코 숨기려고만 하는 이들이 오히려 소송감 아닌가.
비록 고객 정보 유출 단서와 징후를 발견한 뒤 뒤늦게 공지했다는 비난이 일고 있지만 옥션의 자발적 공지는, 수사 결과 발표를 기다리며 자신들의 책임을 뒤로 미루는 기업들과 다른 모습인 것은 분명하다.
해커와 같은 범법자에게 금품을 제공하고 사건을 무마한다거나 해킹 징후를 발견하고 대외적으로 쉬쉬하는 국내 기업 풍토 속에 쉽지 않은 자발적 공지를 감행한 옥션 경영진에게 박수를 보낼 수 있어야 한다. 당장의 기업 이미지 실추를 막기 위해 사이버 인질범들에게 거액을 움켜주는 행동은 범죄인들을 안심시키고 숨겨주는 것이므로 범죄 이상으로 나쁜 행동이라는 점을 이번 기회에 다시 한 번 강조하고 싶다.
제가 주목한 것은 일이 벌어지고 난 다음의 옥션의 태도는 다른 해커와 타협하려는 이들과 쉬쉬 숨기려는 이들보다 그나마 낫다는 것이구요. 그리고 다들 얼굴 모르는 해커를 잡아들이지 못하는 당국에 대해서는 일언반구 한 마디를 안 하시네요. 그것 때문에 이 글을 쓰는 겁니다. 그리고 민간 업자들에게 개인정보를 과다하게 보유하게끔 유도하는 당국에게도 문제가 있다고 하는 겁니다.
서로 흥분하지 않고 생각해보면 이 사건 자체가 갖는 함의는 참 많습니다. 그 가운데 몇 가지를 드러낸 것이구요. 흑백 논리나 양자 택일 논리로 보지 않길 바랍니다. 욕하러 들르신 여러분의 댁내에도 평안함이 깃드시길 바랍니다. 감사합니다.
"SpotNews" 카테고리의 다른 글
- 종이없는 사무실? 업무 혁신 세미나 (댓글 0개 / 트랙백 2개) 2010/01/22
- 옥션 해킹 집단 소송 판결이 주는 교훈 (댓글 15개 / 트랙백 0개) 2010/01/15
- 유튜브 다이렉트, 언론사 동영상 플랫폼 무료 제공 (댓글 6개 / 트랙백 1개) 2009/11/18
- 음성 뺀 모바일 시장 올해만 4조원 넘는다 (댓글 0개 / 트랙백 0개) 2009/11/17
- 무선인터넷 확대, 스마트폰 보급이 관건 (댓글 6개 / 트랙백 0개) 2009/11/16
- 야후 퍼플 마케팅이 시작되는군요. (댓글 10개 / 트랙백 1개) 2009/11/04
- [펌질] 2009미디어리서치 조사 결과 (댓글 0개 / 트랙백 1개) 2009/10/24
- 팝펀딩, 금융 옥션이 될 가능성 있을까?[Updated] (댓글 1개 / 트랙백 5개) 2009/10/22
- 트랙백 이벤트 참여-윈도우7 개발자 세미나 (댓글 0개 / 트랙백 0개) 2009/10/21
- '나영이 사건, 조두순 사건이 맞다' 법조 기자가 인정 (댓글 2개 / 트랙백 0개) 2009/10/01
2010/01/15 01:15
2010/01/15 01:15
댓글을 달아 주세요
우리나라의 인터넷 실명제와 관련해서 주민등록번호를 수집할 수 밖에 없다는 점과 그럼에도 불구하고 관련 법령에 수집한 정보를 저장하는데 필요한 보안 요건에 대해 정해 놓은 것이 없다는 것 둘다 문제라고 생각합니다.
2010/01/15 16:22수시로 변화는 보안에 관한 기술적인 문제를 일일히 법령으로 정해버린다면 오히려 그 경직성으로 인해 부작용이 있을 수 있겠지만, 방화벽 사용, 데이터 암호화 등 큰 틀의 기본적인 의무는 지워야 앞으로 유출 사고가 있을 때 고객 자료 관리를 잘못한 것에 대한 법적인 책임을 지울 수 있겠죠.
거기다 덤으로 옥션과 같이 개인 정보 유출에 대한 공지를 하지 않고 감추려고 하다 들켰을 때 강력한 처벌 조항도 추가했으면 좋겠습니다.
해커들을 잡아들여야 하고 중간에 관리 못한 사람들도 족쳐야 하고 사용자도 조심해야 하는 것이 맞습니다.
2010/01/16 22:42하지만 금고 안에 귀한 것을 넣어두지 않으면 금고가 털린다고 아쉬울 건 없겠죠.
주민번호 등 과다한 정보를 요구하는 것을 이제 멈춰야 합니다. 주민법호는 국가가 관리하는 개인식별 번호에 불과한데 이를 인증번호로 삼는 것 자체가 문제라고 봅니다.
트위터에서 우연히 보고 반가워서 접속해봅니다.
2010/01/15 17:29블로그 접은지 오래되어서 최근에 다시 트위터 하는데.
거기에 계시더군요.
전 @ssueim 입니다.
어쩐지 그동안 안 보이셨군요. ^^ 반갑습니다. 블로그 하냐 안 하냐가 뭐 중요하겠습니까. 어디선가 연결선 하나만 있어서 함께 살아가는 동지가 되는 세상인걸요. ^^
2010/01/16 22:43변호사만 때돈? 벌었죠..
2010/01/17 19:21저 소송을 광고하고 부추긴것도 변호사 본인이고..
권리를 침했다고 생각하면 행동을 취하는 것이 맞다고 봅니다. 이 사건에서 피해자끼리 볼썽사납게 대립하는 모습을 보면서 솔직히 뒤에서 미소 지을 해커가 너무 얄밉더군요. 전 변호사들은 그들의 역할을 했다고 봅니다.
2010/01/18 18:37저도 IT쪽에서 일하는 사람입니다만..
2010/01/18 12:04방화벽은 가장 쉽고 경제적인 1차 방어 수단 입니다. 어떻게 방화벽이 당시에 신뢰할 수 없다고 법원을 설득했는지 이해가 안가는군요. 방화벽이 제 기능을 하든 못하든, 설치를 한다고 해서 서버의 서비스에 영향을 끼치는 일은 없습니다. 최소한 설치해 놓아서 손해볼 일은 없다는 거죠. 은행에서는 해킹을 당하거나 비밀번호를 누가 도용해서 돈을 빼서쓰면 보상을 해줍니다. 만약 이런식의 법률 잣대라면 은행도 보안에 대한 책임을 해커에게 미룰수 있겠죠.
저도 '법대로'를 외치면 이렇게 되는구나 하는 생각을 하게 되네요. 어쨌든 옥션의 무심한 방어체계가 원인이었던 것도 사실인 거 같습니다. 추후 어떻게 될지 궁금하네요. 이 판결이 완결된 것은 아니니까요.
2010/01/18 18:38방화벽이야말로 그당시로 봐선 해킹에 대한 최소한의 조치라고 볼수있습니다.
2010/01/18 13:52최소한의 조치도 하지 않고... 그저 늦은 공지와 앞으로 잘하겠다라는 말로만 때우려는 옥션에 대하여 박수를 보낸다는 말씀... 참 공감하기 어렵네요~
방화벽을 설치한 후 해킹을 당했다... 그렇다면 전 소송제기를 안했을겁니다!!
정보관리의 책임은 당연히 옥션에 있겠지만 불가항력적인 사항은 어쩔 수 없는거 아니겠습니까??
그러나, 옥션의 경우에는 은행들 개인정보를 다루는 기업들의 경우와 다르게 방화벽 설치를 미루는 등 (돈이 들어가는 사항이니...) 정보관리의 책임을 게으르게 한것은 사실이 아닙니까?? 전 윗 글을 보고 갑자기 울컥해서... 항소 해볼랍니다~ ㅜㅡ;;
오늘 오전까지만 해도 "머 우리사회가 그렇지... 하고 항소 포기하려고 했는데"
오히려 이런 블로그에 쓰인 기사들같은 글들이 나오지 않기 위해서라도 항소 해야겠네요~
한가지 더 말씀드린다면.... 여행사에서 보험사를 믿지 못하겠다고 고객들에게 알리지 않고 보험을 안들었다가...
2010/01/18 13:59사고가 나면 누구 책임인가요?? 보험사?? 아님, 여행사?? 아니면...사고를 낸 사람??
지금은 전적으로 고객한테 책임을 지우는 상황이네요~
사고를 낸 사람도 물론 잡아서 처벌을 해야겠지만... 지금은 뺑소니나 마찬가지인거고~
1차적으로는 보험을 들지 않은 여행사 책임 아니겠습니까??
특히 그 여행사가 굴지의 대기업이라고 한다면, 고객들은 당연히 보험처리가 된다고 생각하겠죠~ 기존에 작은 여행사들이나 다른 곳들도 마찬가지로 보험처리를 하는건 기본이니까요~
사고가 나서 고객들에게 나몰라라 하는 그런 여행사는 망해야 하는거 아닙니까??^^;;
앞으로 잘하겟다라니...참... 사람죽여놓고 앞으론 안그럴께 하는거랑 머가 다른건지...
네, 모두 이해하고 저도 동감입니다. 옥션을 두둔하는 것이 아니라 저는 문제의 본질을 다른 곳에서 찾고 있습니다.
2010/01/18 18:43어찌됐든 이번 피해자들은 어떤 식으로든 보상을 받아야 하는 것도 맞습니다. 그리고 이것저것 예를 드셨는데 딱히 모두 적절한 것 처럼 보이진 않지만 이해 못하는 것도 아닙니다. 제가 정말이지 님의 의견의 대척점에 서 있는 것도 아니구요.
다만 위의 글 말미에 덧붙였듯이 저는 본질적으로 우리나라 사이트들의 과도한 개인정보 보유와 해킹 사고에 대해 무조건적으로 숨기는 사회 현상에 문제 제기를 한 것입니다. 아.. 정말 이거 아니면 저거라는 사고 참 많군요.
당신이 하는 말에 수없는 오류를 범했다는 것은 알고 있나요?
2010/01/18 14:48개인정보가 쉬쉬할 일이 아니라면 수없이 팔려나가는 개인정보가 정상적이라는 것입니까?
옥션이 도둑질을 당했다. 도둑질은 그지 같은 곳에서 합니까? 그만큼 도둑질을 하면서 돈이 될 수 있는 곳에서 도둑질을 하겠죠, 옥션은 그 대상입니다. 신상을 보호할 의무가 있죠. 관리할 여력이 안된다면 비회원 구매를 시켜야죠. 고객의 충성을 유지하기 위해 만들은 회원제 도입이라면 그 회원에게 피해가지 않도록 보호해야 할 이유가 있습니다. 결국 그들은 독과점의 인터넷마켓임에도 불구하고 신상에 대한 투자는 소홀했다는 겁니다. 몇만명의 피해자들을 당신에 눈처럼 부정적으로 본다면 언제쯤 우리는 개인정보의 피해에서 자유로울 수 있을까요? 당신의 명의들이 인터넷에 떠돌고 돌아 악용된다면 과연 옥션 경영진에게 박수를 보낼 수 있을까요? 그들이 자발적으로 할 수밖에 없는 상황이었고 해커들에게 뒷돈 안주고 법원에 뒷돈 후려 쳤을지는 아무도 모르는거 아닙니까?
혐의는 인정하는데 죄가 없다.... 그럼 결국 조금씩 잘못하는건 아무런 죄가 없다는 것이 성립되는데 이것이 진정으로 정상적인 재판결과입니까?
당신같이 개인정보를 쉬쉬하는 자는 결국 당합니다. 당신이 한말이 후회될정도로..
이건 승패소를 가릴 것 보다 기자라는 사람이 객관적 문제를 쉬쉬하고 주관적으로 일기 쓰듯 글쓰는 것을 보니 답답하고 한심하네요.. 더욱이 IT관련 언론에서 이런 글이 나오다니...
당신은 정말 당신이 쓴 글중 가장 한심한 글을 쓴겁니다. 세상을 뒤집어 생각하는 건 좋습니다. 개념은 가지고 뒤집어 주세요. 당신이 생각하는 속물없는 소송자는 14만명중 1명도 안되니까요.
좀 흥분 상태에서 쓰신 거 같은데요. 위의 답글로 갈음하겠습니다. 감사합니다.
2010/01/18 18:45믿고 맡겨 달라는 사이트에서 개인정보를 말 그대로 도난당했는데
2010/01/18 15:441차적 책임은 해킹범에게 있지만 2차적 책임은 해킹피해자에게 있다 이건데
원래 개인정보가 나돌아 다닌다고 해킹당해봤자 거기서 거기라는 논리만 보이는
정말 한심한글 이런 기사가 메인에 올라가다니 정말 한심할따름
제 글이 심히 불쾌하셨나봅니다. 제 글이 잘코사니 처럼 보였을 수도 있겠군요. 어쨌든 의견 잘 청취했습니다. 문제의 본질에 접근하는데 있어서 부족한 부분이 있었나 봅니다. 제 생각은 위의 답변과 본문의 덧글로 갈음합니다.
2010/01/18 18:47