개인정보유출 관련 SK컴즈 판결 분석 및 체크포인트

SK컴즈(서울 서부지법 2011가합11733 외 3건 병합 손해배상<기>)

1. 판결 요지 및 여파

○ 2013. 2. 서울서부지방법원은 SK컴즈에 개인정보유출 책임을 인정하고 원고들(2881명)에게 각 20만원을 배상하라고 판결, 총 금액은 약 5억8000만원임

○ SK컴즈가 운영하는 네이트와 싸이월드 회원 수가 약 3500만 명임을 감안하면, 추가 소송이 진행될 경우 향후 손해배상액이 최대 7조원에 이를 수 있음. 

2. 법원이 인정한 SK컴즈의 과실  

① 장시간 개인정보유출을 탐지하지 못하였고, 

② 보안이 취약한 시스템을 사용하였으며, 

③ DB 관리자가 업무수행 후 로그아웃을 하지 않은 점을 근거로 책임 인정.

3. 판결의 의미 및 전망

○ 2012. 11. 서울중앙지법은 동일한 SK컴즈 사례에서 책임이 없다고 판단했었음.

○ 지금까지 옥션, GS 칼텍스 판결에서는 유출된 정보로 인한 2차 피해(예컨대, 주민번호 도용) 없었음을 근거로 손해배상책임을 부정해 왔음.

○ 이번 판결은 위와 같은 과실을 인정하여 2차 피해가 없었음에도 기업의 정보유출에 대한 책임을 엄격하게 인정한 것임(서울중앙지법 소송에서와는 달리 소송과정에서 보안이 취약했고 DB관리자의 과실이 있었다는 점이 밝혀짐).

○ 기업의 사회적 책임을 강화하는 분위기이므로 향후에도 기업의 개인정보 보호의무 책임을 보다 엄격히 인정하는 방향으로 판결을 내릴 가능성이 크다고 보임.

  1) 정통망법 등 관계법령이 요구하는 수준의 기술적, 관리적 조치를 다했다고 인정할 만큼의 개인정보보호시스템을 구축하는데 투자가 요구됨.

  2) 구축한 개인정보보호시스템이 법령 및 판례가 요구하는 수준인지 점검 필요. 

  3) 특히 방송통신위원회로부터 정보보호 관리체계(ISMS) 인증을 받으면, 설령 사고가 발생하더라도 면책되거나 감경될 가능성이 있는 바, 인증을 받는데 2~3개월이 소요되고 인증심사를 준비하는데만도 최장 수 개월이 소요됨.

정리 : 조우성 변호사  https://www.facebook.com/jowoosung