하우리, 국방부 해킹소송 2심도 승소

하우리, 국방부 해킹소송 2심도 승소

하우리가 지난 2016년 국방 전산망 해킹 사건으로 정부가 제기한 손해배상 소송 항소심에서 2심에서도 승소했다. 당시 사건으로 부정당제재를 받은 하우리가 제기한 부정당제재 취소 소송에도 영향을 미칠 것으로 예상된다.

서울고법 민사33부(부장판사 구회근)는 최근 정부가 백신 공급업체 하우리를 상대로 낸 손해배상 청구 소송 항소심에서 항소를 기각했다.

소송은 지난 2016년 7월 발생한 국방부 서버 악성코드 감염 사고에서 비롯됐다. 당시 인터넷 백신 중계 서버를 시작으로 다수 서버가 악성코드에 감염됐고, 군사 자료가 유출됐다.

정부는 같은 해 10월 계약 불이행으로 손해가 발생했다며 하우리와 '국방통합정보관리소 정보시스템 이전·통합사업' 용역 계약을 체결한 LG CNS를 상대로 PC 포맷 등 복구 비용 총 50억원의 손해배상 청구 소송을 제기했다.

정부는 이보다 앞서 2014년 하우리와 '바이러스 방역체계 구축사업' 관련 계약을 체결했다. 당시 사업제안서(RFP)에 '백신 관리서버 대상 해킹 공격 방지' '백신시스템·업데이트 파일 자체 보호 기능' 등 내용을 담았다.

정부는 하우리가 이 같은 계약 사항을 제대로 이행하지 않았다고 봤다. 하우리가 전자서명 비밀키 관리를 제대로 하지 못해 침해사고 때 유출됐고, 보안에 취약한 MD5(128비트 암호화 해시 함수)로 암호화했기 때문이라고 주장했다.

재판부는 이러한 정부 주장을 받아들이지 않았다. MD5 해시함수는 파일의 동일성을 확인하기 위한 것에 불과해 비밀키 보안과는 무관하다고 봤다.

재판부는 판결문에서 “하우리가 비밀키 관리를 제대로 하지 못한 과실로 비밀키가 유출돼 해킹사고가 발생했다고 인정하기에 부족하고, 이를 인정할 증거가 없다”면서 “하우리에 대한 불법행위 손해배상 청구의 이유도 없다”고 판시했다.

이번 판결은 하우리가 진행하고 있는 '부정당업자 제재 처분 취소 소송'에도 영향을 미칠 것으로 예상된다.

조달청은 2017년 10월 국방 전산망 해킹 사건이 하우리가 조달 계약을 제대로 이행하지 않아 발생했다며 하우리에 6개월 동안 조달사업에 참여할 수 없는 부정당업자 제재를 내렸다. 하우리는 지난 2018년 3월 제재 처분을 취소해 달라는 행정소송을 제기했고, 1심에서 패소함에 따라 항소했다.

하우리 관계자는 “하우리가 바이러스 방역체계 구축사업 관련 계약사항을 이행하지 않았다는 정부의 주장이 재판에서 인정되지 않았다”면서 “이와 관련한 부정당업자 제재 처분 근거 또한 사실상 사라진 만큼 관련 항소심에서도 이러한 해석이 유지되길 바란다”고 말했다.

한편 재판부는 정부가 국방망 시공업체 LG CNS에 제기한 항소심은 1심과 달리 원고 일부 승소 판결했다. 법원은 LG CNS가 국가에 3억5000만원을 배상하라고 판시했다.

최호기자 snoop@etnews.com