다음은 IT조선에서 보내는 메일 뉴스레터의 내용입니다.

아래 내용은 얼마전에 있었던 인터넷 대란에 대해 MS와 ISP들의 법적 책임을 물을 수 있는가에 대해
현직 변호사인 하종선이라는 분이 쓰신 글입니다. 이 분의 글을 어느정도 신뢰할 수 있을까 궁금해서
간단히 검색을 해봤더니, 상당히 유명한 제조물책임법(PL법) 전문가이시더군요.

내용은, 결론부터 말하자면 MS에 법적 책임을 물을 수 있는 소지가 다분하다는 것인 듯 합니다.
사실 저도 동감하는 것이, PL법의 취지가 제조물로 인해 소비자가 손해를 입었을 경우 소비자의 명시적
과실이 아니라면 제조사가 법적 책임을 져야 한다는 것이므로, MS가 책임을 지는 것이 당연해보입니다.

실제로, 어젠가 그저껜가에는 버거킹 식중독 사건에 대한 판결이 있었지요.
버거킹 햄버거를 사먹고 두드러기가 났다던가.. 그래서 버거킹을 제소했는데, 버거킹의 과실이 분명히
드러나지는 않았지만 소비자의 과실이 없다는 것이 증명되자 버거킹에 배상 판결이 내려졌습니다.
식품 업계에서는 처음 있는 PL 판례라고 하더군요.

현재 참여연대가 MS에 대해 손해배상 소송을 적극 검토중이라고 합니다.
이에 대해 MS에서는 SW는 제조물이 아니기 때문에 PL법 적용은 말이 안된다고 하고 있다는데,
상식적으로 봐도 SW가 법적으로 제조물이 아니라고 하는 것이 오히려 말이 안되는 것 같습니다.
SW가 제조물로 인정된다면 MS가 패소할 가능성이 높아보입니다.

이번 케이스가 SW업계에 있어 국내 최초의 PL법 사례가 된다고 합니다.
개발자와 SW업계로서는 당연히 PL법이 달가울 수가 없습니다. 심각하게 확산된다면 '재난' 수준이 될
수도 있을 겁니다. 하지만 어차피 PL법이 운명이라면... 그 첫 사례가 MS가 되는 것은 나쁘지 않을
것 같군요.

소송이 실제로 진행되고, MS에 배상판결이 내린다면 MS에게는 지금까지 국내에서의 어떤 사건보다도
더 큰 심각한 타격이 될 겁니다. 법적으로 MS의 제품이 하자가 있다고 판결하는 셈이 되니까요.

참고로, 이 글을 쓰신 하종선 변호사의 홈페이지에 가보면 PL법 관련 자료들이 많더군요.
http://www.pllawyer.co.kr/

---

■ IT클럽 : 인터넷 대란 손해배상 가능한가?
 
▶ 2003/2/6

안녕하십니까. 하종선변호사입니다. 마이크로소프트(MS)의 빌게이츠 회장은 지난해 이 맘때 보안을 강화하겠다며 “Trustworthy Computing Initiative”를 선포했습니다. 그러나 지난 1월 25일 터진 인터넷 대란(disruption)은 빌 게이츠의 전략에 먹칠을 한 셈이 됐습니다.

이번 사태의 주범은 슬래머 웜이었지만 근본원인은 MS사의 SQL Sever 2000 및 MSDE 2000 의 결함입니다. 이번 사태의 피해자들이 제조물책임법(PL)에 따라 MS와 KT 등 주요 관련업체에 대해 손해배상청구를 할 수 있을까요?

◆위험을 막을 수 있는 여지가 전혀 없었나?

SQL Server 2000의 결함은 오래 전에 ‘David Lichtfield’라는 사람에 의해 발견돼 네트워크 보안 전문가들은 대부분 알고 있는 사실이었습니다. 따라서 MS, 인터넷통신망업체, 인터넷서비스제공업체가 만반의 대책을 취할 수 있는 충분한 시간이 있었습니다.

그럼에도 불구하고 이번 인터넷 대란은 사전에 전혀 감지되지 못했습니다. 또 웜슬래머는 단 10분만에 전 세계를 덮쳐 엄청난 피해를 낳았습니다. 이런 점에 비춰 볼 때 이들 업체들이 과연 주의의무를 다했는가라는 점에 의문이 갑니다.

◆MS에 대한 소송이 가능한가?

MS는 작년 7월에 Slammer Worm의 침투를 막는 패치 프로그램을 개발해 구매자들에게 배포 하였기 때문에 그 책임을 다 했다는 입장을 취하고 있습니다. 소프트웨어에는 버그가 있기 마련이고, 버그를 발견한 뒤 치료조치를 취하면 소프트웨어 제조업자로서는 할 도리를 다했다는 것입니다. 그러나 소비자들은 이러한 주장을 잘 받아들이지 못하고 있습니다. 너무 많은 패치가 잇따라 쏟아져 나오기 때문에 소비자가 이를 제 때에 좇아 가기란 현실적으로 어렵습니다.

이런 관점에서 MS가 소프트웨어 사용자들에게 보안 패치 적용을 즉시 안 했을 경우 생길 수 있는 손해에 대하여 적절하게 경고하였는지를 따져봐야 합니다. 즉, 사용자들이 패치를 즉시 적용하도록 하는 데 최선의 노력을 했는지 여부에 따라 MS에게 경고 결함에 따른 제조물책임정도가 결정될 것입니다.

◆소극적인 보안경고

우선 MS사는 ‘Security Bulletin MS02-039’에서 SQL 결함에 대해 최대 피해등급(Maximum Severity Rating)을 “Critical”이라고 했습니다. 그러나 이번 사태는 “Catastrophic”상황에 해당됩니다.

비록 “Critical”이 경고등급상 최상위에 해당한다고 하지만 이번 인터넷 대란 피해규모에 비추어 볼 때 그 등급분류 자체가 고객들에게 위험의 규모와 급박성을 알리는 데 적절했다고 보기 어렵습니다.

그리고, MS사가 이메일만으로 보안의 위험성을 알린 것이 적절했는지를 따져봐야 합니다. 최근 보안사고는 전 세계에서 동시다발적으로 광범위하게 일어납니다. 이런 추세를 감안할 때 MS가 소비자에 대한 전화상담이나 방문 등을 통해 보다 적극적으로 대처했다면 피해를 줄일 수도 있었을 것입니다.

◆왜 결함있는 제품을 시장에 내놓는가?

또한 MS가 소프트웨어의 결함을 예방할 수 있는 설계기술능력이 있었다는 사실이 밝혀진다면 설계결함에 따른 제조물책임을 면하기 어려울 것입니다. 우선 MS가 SQL Server 2000 출시전에 충분한 시험(extensive testing)을 했는지를 따져야 합니다.

마이클 드럼먼드가 “Renegades of the Empire”에서 언급했듯이 MS가 제품을 먼저 출시하여 마켓셰어를 늘리고 나중에 문제점을 해결하는 판매전략이 충분한 시험을 하지 못하도록 했는지가 밝혀져야 합니다.

이와 관련하여 올해 출시될 ‘Windows Server 2003’에 적용된 설계가 왜 SQL Server 2000에는 적용될 수 없었는지가 철저히 검증돼야 합니다. 또한, MS가 보안 패치 뿐만 아니라 웜슬래머에 대해 자동방어장치(automatic defense system)를 개발할 수 있었음에도 불구하고 이를 게을리하였다면 이것은 판매후 제조물계속 감시의무를 게을리한 것에 해당됩니다.

◆인터넷서비스 제공업체의 책임

또 인터넷통신망업체 및 인터넷서비스제공업체(ISP)의 책임을 따져봐야 합니다. MS사가 개발 · 배포한 패치를 제때에 적용하지 않은 잘못이 없는가를 철저히 살펴야 합니다. 제품이 아닌 서비스의 제공에 대하여는 제조물책임법이 적용되지 않습니다. 따라서 민법상 과실에 기반한 불법행위책임을 물을 수밖에 없습니다.

인터넷통신망업체 및 인터넷서비스제공업체(ISP)는 바이러스나 웜에 의한 이른바 “서비스 거부 공격(denial of service attack)”으로 서비스제공이 중단되지 않도록 필요한 예방조치를 취하여야 할 의무가 있습니다.

그런데 인터넷통신망업체가 MS의 패치적용권고를 받고서도 이를 게을리 하였다면 이와 같은 주의의무를 다하지 않은 경우에 해당하므로 과실에 기한 손해배상책임을 부담해야 할 것입니다. 이들 인터넷 업체들도 앞서 언급한 “Warhol worms”에 의한 인터넷대란을 대비하여 서비스 거부 공격이 발생하지 않도록 만반의 조치를 취했어야 했습니다.

◆약관에 대한 다툼

이들 인터넷 업체들은 고객과의 계약서에 그 책임여부 및 손해배상범위를 제한하는 조항을 두고 있는데, 그 유효성이 향후 소송에서 문제될 것으로 예상됩니다. 이들은 고객과의 계약에서 이른바 “AS IS” 및 “AS AVAILABLE” 조항 즉, 접속여부 그 접속의 품질 및 신뢰성에 대하여 하등의 보증을 하지 않는다는 면책조항을 포함하고 있는데 이와 같은 일방적인 조항이 유효한지가 문제됩니다.

2002. 7. 1.부터 실시되고 있는 제조물책임법은 이와 같은 면책조항은 무효라고 규정하고 있으나, 위에서 살펴본 바와 같이 서비스의 제공에는 제조물책임법이 적용되지 않기 때문에 공정거래법상 우월적 거래지위의 남용에 해당되어 그 효력이 부인되어야 하는지가 검토되어질 것입니다.

MS와 인터넷 업체들은 인텔이 펜티엄칩의 결함에 대하여 초기에 책임을 회피하다가 집단소송을 당하게 되자 소비자에게 배상안을 제시했던 전철을 밟지 않아야 합니다. 특히 MS는 최근 미 캘리포니아주에서 소프트웨어의 종류와 가격을 선택할 수 있는 소비자의 권리를 침해했다는 이유로 제기된 집단소송에서 11억달러를 지급하기로 합의했던 전례를 기억해야 할 것입니다.

/하종선 변호사 드림 jasonha@lawdw.com