지난해 10월 카카오 먹통에 따른 서비스 장애는 시민의 삶 전체에 큰 영향을 미쳤고, 재산적 손해까지도 발생시켰다. 이러한 피해는 민간에만 한정된 게 아니라 공공 영역에서도 발생, 전산장애가 결코 작은 문제가 아니라는 인식을 심었다. 정보기술(IT) 서비스는 사람에 의해 운영되는 것이기 때문에 최선으로 주의해도 전산장애는 피할 수 없다. 이 때문에 모든 전산장애에 대해 서비스운영자가 법적 책임을 져야 한다는 것은 과도한 주장이 아닐 수 없다. 그렇다고 서비스운영자가 항상 면책되어야 한다는 것도 이용자 입장에서 납득하기 어렵다.
전산장애로 말미암아 법적 책임을 지는 합리적인 선(線)은 어디일까. 최근 판결을 통해 그 선을 찾아보고자 한다. 가상자산 거래소에서 평소 10만건 안팎이던 시간당 주문량이 20만건 이상으로 지속되자 데이터베이스(DB) 서버에 과부하가 발생하고 이로 말미암아 주문 접수, 거래 체결 등을 실시간 처리하지 못해 거래가 지연됐다. 거래상의 오류 발생률이 50% 이상 되자 거래소는 서비스 전체를 일시적으로 중단하고 서버 점검과 함께 메모리 리셋, 유입 트래픽 제어 등 조치를 통해 1시간 30분 만에 거래를 재개했다. 거래소 회원들은 거래 중단 시점과 재개 시점 사이에 가상자산 가격이 급락했는데 전산장애로 거래를 할 수 없어 그 시세 차익 상당의 손해가 났다고 소장을 제출했다.
이에 서울고등법원은 거래소 서비스 약관에 의거해 거래소는 원활한 서비스 제공을 위해 가상화폐 거래 중개 사이트 운영에 필요한 전반적인 시설과 시스템을 구축하고 유지·보수해서 시스템이 원활하게 운영되도록 관리할 의무가 있기 때문에 DB 서버의 과부하로 전산장애가 발생한 것은 채무불이행에 해당한다고 보았다. 거래소는 전산장애가 발생한 이유는 짧은 시간에 예측할 수 없는 정도의 많은 거래량이 폭발적으로 발생하였기 때문이어서 전산장애에 대해 귀책 사유가 없다고 주장했다.
이 사건에서 서울고법이 '전산장애 방지를 위한 사회통념상 합리적으로 기대 가능한 조치'의 기준을 제시했다. 이 기준은 SK컴즈 또는 KT 개인정보 유출 사건에서 해킹 방지 의무에 대해 적용한 기준과 유사하다. 결국 서비스운영자가 '전산장애 방지를 위한 사회통념상 합리적으로 기대 가능한 조치'를 했는지 여부에 따라 법적 책임이 결정된다. 서울고법은 이 기준에 입각해 과부하에 취약한 MySQL을 상용화하면서 과부하 분산 조치를 하지 않은 점, 거래소 회원이 3배 이상 급증하면서 수수료 매출이 약 80배 증가했는데 시스템 과부하 해결 조치를 하지 않은 점, 위험관리 매뉴얼이 마련되어 있음에도 그에 따른 조치를 하지 않은 점, 거래소 이용 고객은 거래소에 대해 주식시장에 준하는 시스템 안전성을 기대하는 것이 합리적이라는 점 등을 고려해 거래소의 귀책 사유를 인정했다. 다만 손해액은 재산상 손해의 증명이 부족하다고 보아 부정하고, 전산장애 당시 보유 가상자산이 급락하는 장세가 펼쳐지고 있음에도 원하는 가격에 매도 주문을 할 수 없었다는 초조감과 상실감을 인정해 위자료를 인정했다.
그동안 전산장애에 대해 사회적으로 너그러웠다. 그러나 디지털 시대에 합리적으로 기대 가능한 조치를 하지 않아 손해가 발생했음에도 면책되는 것도 이해하기 어렵다고 결론을 내린 판결은 전산장애에 합리적으로 기대 가능한 조치 의무의 기준을 제시했다는 점에서 의미가 있다.
김경환 법무법인 민후 대표변호사 oalmephaga@minwho.kr