No more information leaks

Home > Think English > Bilingual News

print dictionary print

No more information leaks

SK Communications recently lost a court case on data leakage following a disastrous hacking incident. It was the first ruling in favor of a collective consumer action against a company for mismanaging customers’ information.

The Seoul Western District Court ordered SK Communications to pay a total of 576.4 million won ($534,200), or 200,000 won each, to 2,882 petitioners who filed damages against the company for leaking their personal information. It is the first ruling that holds the corporate manager accountable for leaking customers’ information regardless of intentionality. The court said, “SK Communications neglected its duty to protect customers’ information, which resulted in inviting a hacking incident.”

In July 2011, the company that operated popular social networking online platform Cyworld and portal site Nate, announced that the two networks were hacked by criminals who stole personal data, including names, e-mail and home addresses, phone numbers, and residential registration numbers of more than 35 million users of the two online sites. Victims filed a class-action suit against SK Communications for the country’s hitherto worst Web security accident. So far, the court has been lenient on hacking incidents, siding with the corporate defendants by arguing that complete protection from professional hackers is not possible. Another local Seoul court in November last year turned down the lawsuit against SK Communications from 2,847 hacking victims.

It is unclear with which of the two different rulings the higher court will side in the future. But the general consensus is that companies must bear more accountability in managing and overseeing customers’ personal information. Consumers are no longer so naive to accept excuses and apologies that hacking accidents cannot be prevented.

Once customers’ private information is leaked, their life and properties become vulnerable. The Seoul Western District Court listed the problems with corporate leniency. SK Communications’ detection system failed to work properly due to indulgent guidelines and reliance on a security-weak zip program. It also lacked an automatic log-out timer on its database.

Information and technology companies must be aware that they cannot survive simply on good products and programs. They must provide thorough security guarantees for their customers using their services. The recent ruling shows that security breaches can cost companies serious money, too.

네이트·싸이월드 해킹 사건으로 개인정보를 유출당한 이용자들에게 운영업체 SK커뮤니케이션즈(SK컴즈)가 손해배상을 해야 한다는 법원 판결이 나왔다. 해킹에 따른 개인정보 유출에 대한 집단소송에서 이용자가 승소한 것은 이번이 처음이란 점에서 주목되는 판단이다.
어제 서울서부지법 민사12부(부장 배호근)는 네이트 이용자 김모(44)씨 등 2882명이 SK컴즈를 상대로 낸 손해배상 청구 소송에서 “피고는 원고들에게 1인당 20만원씩 모두 5억7640만원을 지급하라”고 선고했다. 이 소송은 2011년 7월 네이트·싸이월드 회원 정보 데이터베이스(DB)가 해킹당하면서 성명과 주민등록번호, 주소, 전화번호 등 3500만 명의 개인정보가 유출된 데서 비롯됐다. 재판부는 “SK컴즈는 개인정보를 보호할 의무를 소홀히 해 해킹 사고를 방지하지 못했다”고 밝혔다. 이번 판결은 고객 정보 유출에 대한 기업의 책임을 폭넓게 인정했다는 점에서 그 의의를 찾을 수 있다. 그간 법원은 해킹 사고의 불가항력적 측면에 무게를 실어왔다. 지난해 11월 서울중앙지법도 같은 사건으로 2847명이 낸 손해배상 청구를 기각한 바 있다.
두 갈래의 판결이 상급심에서 최종적으로 어떻게 정리될지는 섣불리 언급하기 어렵다. 다만 고객의 소중한 개인정보를 더 철저하게 관리해야 하는 상황임은 부인할 수 없을 것이다. 고객들도 “해킹은 어쩔 수 없는 사고 아니냐”는 변명에 동의하지 않는다. 빠져나간 개인정보가 언제 고객들의 재산과 안전을 위협할지 모르기 때문이다. 더욱이 서부지법 판결은 느슨한 관리 실태를 조목조목 지적했다. ^침입탐지시스템 등의 경고 발생 기준을 지나치게 완화했고 ^보안상 취약한 공개용 알집을 사용했으며 ^DB 관리자가 업무 후 로그아웃을 하지 않은 것은 물론 자동 로그아웃 시간도 설정하지 않았다는 것이다. 기술적 시설만 갖추면 책임을 면할 수 있다는 식의 마인드로는 더 이상 IT(정보기술) 생태계에서 살아남을 수 없다. 시스템 운용 전 과정에서 보안 불감증을 걷어내는 노력이 필요한 때다.
Log in to Twitter or Facebook account to connect
with the Korea JoongAng Daily
help-image Social comment?
lock icon

To write comments, please log in to one of the accounts.

Standards Board Policy (0/250자)