[판례.zip] 게임사에서 정보 털렸는데, 돈 받을 수 있나요?

▲ 개인정보 유출, 더 이상 남일이 아니게 됐다 (사진출처: 픽사베이)

하루가 멀다 하고 들려오는 개인정보 유출 소식. 게이머라면 누구나 한 번쯤 "혹시 내 계정도?"라며 불안에 떤 경험이 있을 겁니다.

그런데 뉴스를 보면 어떤 때는 회사가 수십억 원을 물어주는 데, 또 다른 경우에는 '회사는 책임이 없다'라며 유저들이 패소하기도 합니다. 도대체 법원은 무엇을 기준으로 게임사의 책임을 묻는 걸까요?

이번 판례.zip에서는 엔씨소프트(리니지 2), 넥슨(메이플스토리), 최근 골프존(스크린골프) 사태까지, 굵직한 사건의 판결문을 통해 법원이 개인정보 유출에 대해 어떤 원칙을 가지고 판결을 내리고 있는지 그 흐름을 시간 순서대로 분석해서 살펴보는 시간을 마련했습니다.

기본적인 조치조차 없었다면 게임사 책임 – 엔씨소프트 리니지 2 개인정보 유출 사건

가장 먼저 살펴볼 사례는 '게임 관련 개인정보 보호 판례의 기준'을 정립한 2005년 엔씨소프트 사건입니다.

2005년 5월, 엔씨소프트는 리니지 2 업데이트 과정에서 실수로 유저들의 ID와 비밀번호를 암호화하지 않은 채 로그파일에 그대로 저장되게 만들었습니다. 이로 인해 PC방 등 공용 컴퓨터에 저장된 로그파일을 열어보면 누구나 타인의 계정 정보를 알 수 있게 되었죠.

▲;법원은 게임회사에게 개인정보가 누출되지 않도록 할 주의의무에 대한 기준을 제시했다(자료출처 : 서울중앙지방법원 2006나12182 판결문)

이러한 엔씨소프트의 잘못에 대해 법원은 회사가 계약상, 법상 요구되는 주의의무를 다하지 않았다고 판단했습니다. 게임사는 비밀번호는 암호화 기술 등을 이용해 보안 조치를 했어야 하는데, 담당 직원 실수로 이를 노출시킨 것을 명백한 과실로 본 것이죠.

이로 인해 법원은 엔씨소프트가 유출 피해를 본 유저에게 1인당 위자료 10만 원을 지급하라는 취지로, 원고 일부 승소 판결을 했습니다.

▲;당시, 법원은 유출된 유저 1인당 10만 원의 위자료를 인정했다(자료출처 : 서울중앙지방법원 2006나12182 판결문)

할 만큼 했다 - 넥슨 메이플스토리 개인정보 유출 사건

하지만 2010년대 들어 해킹 수법이 고도화되면서 법원의 분위기가 조금 달라집니다. 1,320만 명의 정보가 유출된 역대급 사건인 넥슨 메이플스토리 사건이 대표적입니다.

이 사건에서 해커는 APT(지능형 지속 위협) 공격을 통해 넥슨의 백업 서버에 침투, 대량의 개인정보를 탈취했습니다. 이에 유저들은 "회사가 보안 투자를 소홀히 했다"라며 집단 소송을 제기했죠.

이 사건에서 법원은 어떤 판결을 했을까요? 대법원까지 간 긴 공방 끝에, 법원은 결국 게임사인 넥슨의 손을 들어줬습니다. 판결문에서 법원은 "해킹 당시의 보편적인 기술 수준, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹 기술의 발전 정도 등을 종합적으로 고려해야 한다"라고 판시했습니다.

▲ 법원은 보안 조치와 기술적 한계를 종합적으로 고려해 기업의 면책을 인정했다 (자료출처 : 서울고등법원 2014나2032722)

즉 기업이 무한대의 비용을 들여 완벽한 보안을 갖출 의무는 없으며, 사회 통념상 합리적으로 기대 가능한 정도로만 하면 된다는 것입니다. 특히, 재판부는 "방송통신위원회가 고시한 기술적·관리적 보호조치 기준을 다하였다면, 특별한 사정이 없는 한 법률상 의무를 위반했다고 보기 어렵다"라고 명시했습니다.

당시 해커가 사용한 공격 툴과 수법은 넥슨의 기존 보안 시스템(접근 통제 등)을 우회하도록 설계된 고도화된 방식이었기에, 기업이 이를 미리 탐지하거나 막기는 어려웠다고 판단한 셈이죠.

이 판결은 게임업계와 IT 기업에게 일종의 '면책 가이드라인'이 됐습니다. '정부가 정해준 고시(체크리스트)만 지키면, 해킹을 당해도 법적 책임은 없다'라는 인식이 굳어지게 된 건데요. 이후 많은 게임회사가 보안 투자를 '법적 요구사항을 충족하는 수준'으로 맞추는 데만 집중하게 된 계기가 된 사건이기도 합니다.

형식적인 조치만으로는 이젠 부족하다 - 골프존 사건

그러나 2020년대 들어 법원의 판단 기준은 한층 더 엄격해졌습니다. 작년 3월에 선고된 스크린골프 업체 골프존 사건이 그 신호탄이라고 할 수 있습니다.

사건 발단은 이렇습니다. 해커가 랜섬웨어 공격을 통해 골프존 이용자 약 221만 명의 정보를 탈취했고, 개인정보보호위원회는 골프존에 70억 원이 넘는 역대 최고 수준의 과징금을 부과했습니다.;

이에 골프존이 과징금 처분에 불복해 서울행정법원에 행정소송을 제기한 것이 이 사건의 발단입니다. 골프존 측은 '우리도 하라는 대로 시스템 다 깔았다'라며 재판 과정에서 억울함을 호소했습니다. 법령(고시)에서 정한 침입탐지시스템(IDS)과 침입방지시스템(IPS)을 모두 설치해서 운영하고 있었다는 것입니다. 과거 넥슨 판례의 기준대로라면, 의무를 다한 것으로 인정받을 수도 있는 상황이었죠.

▲;과거 넥슨 판결에서 인정된 보호조치 기준을 충족했다고 항변한 골프존 (자료출처 : 서울행정법원 2023구합81091 판결문)

하지만 작년 3월 선고된 서울행정법원 2023구합81091 판결문에 따르면, 법원은 골프존의 주장을 받아들이지 않았습니다. 오히려 법원은 '골프존이 보호조치 기준을 위반했다'라고 못을 박았습니다.

먼저, 골프존은 보안 시스템을 설치만 해두고, 정작 중요한 기능(암호화된 통신을 들여다볼 수 있는 복호화 기능 등)은 켜놓지 않았습니다. 심지어 해커의 무차별 대입 공격을 막아야 할 시스템 설정을 '허용(Allow)'으로 해두기도 했습니다.

이러한 골프존의 행태에 대하여 법원은 "시스템 껍데기만 있다고 의무를 다한 것이 아니다"라고 판단했습니다. 오히려 사건 직후 골프존이 간단하게 보안 정책을 강화한 것을 지적하며, "돈이 많이 드는 것도 아닌데 사고 전에는 왜 안 했느냐"며 회사의 안일함을 질타하기까지 했습니다.

이 판결의 의미는 명확합니다. 이제는 '법정 보안 프로그램을 형식적으로 설치만 해서는 면책될 수 없다'라는 것입니다.; 이제 법원은 프로그램 존재 여부를 넘어, 그 시스템이 실질적으로 해킹을 막을 수 있게 세팅되어 운영되고 있는지까지 깐깐하게 심사하고 있습니다.

▲;사고 후 적용한 조치가 오히려 합리적인 보호조치를 취하지 않은 것으로 판단되는 근거가 되었다 (자료출처 : 서울행정법원 2023구합81091 판결문)

'면책의 시대'는 끝났다, 이제는 '실질적 방어'를 증명해야 할 때

결론적으로 법원이 바라보는 기업의 책임 기준은 '형식'에서 '실질'로; 무게중심이 완전히 이동하고 있습니다.;

과거 리니지 2 사건처럼 기본적인 암호화조차 하지 않은 무방비 상태는 말할 것도 없고, 메이플스토리 사건 후 업계의 방패막이가 되었던 '보안 프로그램만 설치하면 면책'이라는 공식도 깨졌습니다. 이번 골프존 판결은 시스템을 갖췄더라도, 그 운영과 설정이 허술했다면 책임을 피할 수 없다는 점을 명확히 했습니다.

최근 KT와 쿠팡 등 우리 생활과 밀접한 대형 플랫폼 기업에서도 개인정보 유출 논란이 연이어 터지며 이용자들의 불안감이 그 어느 때보다 높은 상황입니다.;

이러한 시기에 내려진 법원의 판단은 게임사를 넘어 IT 업계 전반에 '단순히 정부 가이드라인을 지키는 수준으로는 부족하다'라는 강력한 경고 메시지를 던지고 있습니다.

법적인 배상을 받는 것보다 훨씬 중요한 것은, 소중한 개인정보가 유출되지 않도록 지키는 것입니다. 기업의 책임 기준이 높아지는 것과는 별개로, 지금 당장 OTP를 비롯한 추가 보안장치를 설정하는 작은 습관이 소중한 게임 계정을 지키는 가장 확실한 잠금장치임을 잊지 마시기 바랍니다.

게임메카 강정목 변호사

Copyright ⓒ 게임메카. 무단전재 및 재배포 금지