G마켓, 보안업체 상대 광고비 손배소 1심 패소

[이데일리 박정수 기자] 지마켓(G마켓)이 광고 클릭 데이터 유실과 관련해 보안업체에 그 책임을 물어 손해배상 청구 소송을 제기했으나 1심에서 패소했다. 특히 G마켓이 인터넷 주소(URL) 설계를 잘못한 탓에 데이터 유실이 발생했다고 재판부가 판단했으나 G마켓은 이에 불복, 항소에 나섰다.

사진=G마켓

13일 법조계에 따르면 G마켓은 라드웨어코리아와 제이티시스템즈를 상대로 제기한 약 18억원 규모의 손해배상 청구 소송 1심 판결에 불복해 최근 항소장을 제출했다. 항소는 제이티시스템즈 상대로만 제기했다.

앞서 지난달 중순 서울중앙지법 민사45부(부장판사 김경수)는 G마켓이 라드웨어코리아와 제이티시스템즈를 상대로 제기한 손해배상 청구 소송에서 원고(G마켓) 패소판결했다.

라드웨어는 이사라엘에 본사를 둔 사이버 보안과 애플리케이션 제공 솔루션 전문 기업이다. 라드웨어코리아는 라드웨어 완전 자회사로 한국지사다. 제이티시스템즈는 소프트웨어 자문과 통신장치 및 관련기기 판매 또는 수출입업을 하고 있다.

G마켓은 2013년 2월 라드웨어가 제조한 디도스 공격 방어 보안장비 8대를 공급받아 목동IDC에 설치했고, 이 가운데 4대가 G마켓 사이트 서버에 설치됐다. 또 G마켓은 제이티시스템즈과 시스템 공급 계약을 맺고 라드웨어 제품 4대를 수입해 평촌IDC에 설치했다. 아울러 제이티시스템즈와 유지보수 계약을 맺고 총 6회에 걸쳐 시스템 업그레이드도 했다.

G마켓은 목동IDC와 평촌IDC에 오픈마켓 서버를 두고 각각 트래픽 배분 비율을 5대 5로 두고 있다.

문제는 2021년 5월 10~18일 G마켓은 대규모 할인행사인 ‘빅스마일데이’를 진행하면서 벌어졌다. 당시 사이트 방문자 수와 판매 매출은 크게 늘었는데, 클릭당 광고료가 산정되는 CPC 광고 매출은 예상에 못 미치는 것을 발견했다.

조사결과 접속자가 광고를 클릭해도 광고 클릭 데이터가 서버로 전달되지 않는 현상을 확인했다. G마켓 측은 피고들이 공급한 장비 결함으로 행사 기간 CPC 광고 클릭 데이터가 누락되면서 광고수수료 상실 손해만 16억원이 넘는다고 주장했다.

라드웨어가 제작한 이 사건 제품은 다수 접속자가 동시에 서버에 접속을 시도하고자 하는 경우 해당 접속자가 정상적인 사용자인지 인증하기 위해 특정 URL로 재차 접속하도록 유도하는 방식을 채택했다.

G마켓은 접속자가 접속을 시도한 URL의 길이가 1236바이트(byte)를 초과하면 인증 과정에서 접속을 시도한 URL이 아닌 홈페이지로 돌려보내지는 현상이 발생했다며, 이 사건 제품에는 제조물 책임법에서 규정하는 설계상·표시상 하자가 존재하며 채무불이행 및 하자담보책임에 따른 손해배상 책임이 인정된다는 이유로 손해배상 소송을 제기했다.

사진=게티이미지

하지만 재판부는 G마켓의 이러한 청구를 모두 기각, 원고 패소판결했다.

소송에서 문제가 됐던 현상은 국제통신규약 ‘MTU1500’에 따라 한 번에 이전될 수 있는 데이터의 양이 1500byte로 제한되기 때문에 발생하는 것으로 설계상 결함에 해당한다고 볼 수 없다고 재판부는 봤다. 또 1500byte에서 기본적인 헤더값 등을 고려하면 URL 길이 기준은 1236byte가 된다.

특히 재판부는 “G마켓과 같이 대규모 인터넷 사이트 서버 등을 운영하면서 ‘MTU1500’ 기준으로 URL 데이터를 일정 수준 이하로 설정해야 한다는 것을 충분히 알았거나 알 수 있었다. 광고 클릭 데이터 등이 유실되는 문제를 회피할 수 있었다”고 지적했다.

실제 라드웨어코리아와 2021년 7월 진행했던 화상회의에서 URL 길이 기준(1236byte)을 넘어서면 분할된다는 보고를 했더니 G마켓 측은 “그럴 수 있네, 이게 맞네”라고 했다. 또 “‘MTU1500’ 기준을 이쪽 업계에서는 모든 사람이 다 알고 있기 때문에 그 부분을 우리(G마켓)도 간과하고 알지 못했다고 말했다”라는 취지로 증언했다.

재판부는 또 피고는 이 사건 제품에서 URL 길이를 제한하지 않는 방식으로 설계를 변경할 경우 성능을 현저히 떨어뜨릴 수 있는 점을 고려해 실제로 이러한 현상이 발견된 후에도 설계를 수정하지 않은 점, 실무적으로 URL 크기를 500byte를 초과해 설정하는 경우가 드물고 관련 업계 전문가들도 500byte를 넘는 URL을 본 적이 없다고 진술한 점 등을 이유로 설계상 결함이 없다고 판단했다.

라드웨어코리아를 대리했던 법무법인 화우 이광욱 변호사는 “예컨대 스마트워치 방수 기능에 대한 광고에서 상식적으로 잠수부 이용까지 허용된다고 고려하지는 않을 것”이라며 “이 사건 제품이 효과적으로 디도스 공격을 방어하기 위해 불가피하게 채택한 설계 사항이라는 점 등을 강조함으로써 재판부의 합리적인 판단을 이끌어 냈다”고 전했다.

특히 전문가가 아니면 원리를 알기 어려워지는 환경에서 전문가라면 알았거나 알 수 있었다고 인정되는 정보, 관련 업계 전문가의 진술 등을 제시하는 방법으로 제품을 사용하는 사람의 기준에서 하자 여부를 판단할 수 있다는 점을 확인해 주는 점에서 이 판결에 의의가 있다고 강조했다.

한편 G마켓 측 관계자는 “항소를 제기했다”며 “재판 진행 중이라 자세한 내용은 답할 수 없다”고 전했다.