재판부는 “정보통신서비스 제공자는 법적 기준에 따라 기술적 보호조치를 모두 취했다면, 보호조치를 취해야 할 법상·계약상 의무를 위반했다고 보기 어렵다”며 “해커 침입으로 정보가 유출됐을 뿐 SK커뮤니케이션즈는 법령에서 정한 기술적 보호조치를 다했다고 봐야 한다”고 판단했다.
이어 “당시의 기준이 아닌 현재에 와서 ‘이렇게 했으면 좋지 않았을까’하는 고도의 의무는 인정하기 어렵다”고 설명했다.
‘네이트·싸이월드 해킹사건’은 지난 2011년 7월 26일부터 27일까지 중국에 거주하는 것으로 추정되는 해커가 네이트와 싸이월드 사이트를 운영하는 SK커뮤니케이션즈 서버에 침입, 회원 개인정보 3495만 4887건을 유출한 역대 최대 규모의 개인정보 유출사고다.
이에 대해 1심 재판부는 지난 2013년 “SK커뮤니케이션즈는 관련법에 따라 피해자들이 네이트나 싸이월드에 회원으로 가입하면서 제공한 개인정보를 보호할 의무가 있다”며 피해자에 대해 1인당 20만 원씩의 위자료를 인정했다.
당시 1심 판결은 ‘네이트·싸이월드 해킹사건’와 관련해 피해자들에게 대한 위자료를 인정한 최초 판결로 많은 관심을 모았다. 다만 이 판결을 제외한 다른 대부분 판결에서 법원은 이용자들의 손을 들어주지 않았다.
또한 1심 재판부는 해킹에 이용된 알집 업데이트 프로그램 제작사 이스트소프트, 백신 프로그램을 SK커뮤니케이션즈에 판매한 시만텍, SK 보안관제업무 용역을 맡은 안랩 등을 상대로 낸 손해배상 청구에 대해서는 “개인정보 유출과 해킹사건 사이에 직접적인 인과관계를 인정하기 어렵다”며 받아들이지 않았다.
민웅기 기자 minwg08@ilyo.co.kr
