세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
역대급 개인정보 유출사건의 판결, 어떻게 변해왔나
  |  입력 : 2018-04-26 11:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
그동안 동일시되던 법과 주의의무 수준...최근 판결에서 주의의무 수준이 더 높아져
방통위 등 정부부처의 정보보호 기준 강화...행정 및 민사 모두 피해자에 유리해져


[보안뉴스 원병철 기자] 우리나라에서 제법 많은 해킹사건이 발생했지만, 거의 대부분의 사건이 노린 것은 금전이 아닌 개인정보였다. 최근 발생한 암호화폐 거래소에서 발생한 암호화폐 탈취사건 외에는 대부분 사용자의 개인정보를 노린 범죄였던 것. 실제로 해킹으로 금융기관에서 금전이 탈취된 사건은 찾아보기 힘들며, 금전 유사물이 탈취된 사건도 거의 찾기 어렵다.

[이미지=iclickart]


하지만 해킹을 통한 개인정보 유출사건은 꽤나 많다. 이는 개인정보가 돈이 되기도 하지만, 그만큼 금전에 비해 관리가 부실하다고도 할 수 있다. 문제는 이렇게 개인정보가 유출된 사건에서 대부분 기업들의 책임은 인정되지 않았다는 사실이다.

법무법인 바른의 전승재 변호사는 NetSec-KR 2018 강연에서 2008년 옥션, 2011년 싸이월드, 2012년 KT 등 대표적인 개인정보 유출사건을 예로 들며 이와 같이 주장했다.

전승재 변호사에 따르면 옥션, 싸이월드, KT는 행정소송 없이 민사소송만 진행되어 이미 결과가 나왔으며, 2016년 인터파크와 2017년 여기어때, 2017년 빗썸은 현재 민사소송과 행정소송이 함께 진행 중이다. 1,800만 건의 개인정보가 유출됐던 옥션 사건, 3,500만 건이 유출된 싸이월드 사건, 870만 건이 유출된 KT 1차 사건과 1,170만 건이 유출된 KT 2차 사건 등 4건은 모두 기업들이 승리했다. 특히, KT 2차 사건은 민사와 함께 행정소송도 진행됐지만, 역시나 KT가 승리했다.

▲해킹으로 개인정보가 유출된 사건[자료=전승재 변호사]


개인정보보호법 등 개인정보를 보호하기 위한 법률이 있음에도 불구하고 몇 건의 유출사고에서 모두 기업들이 승소한 이유는 무엇일까?

우선 법원은 개인정보가 유출되면 정신적인 손해 등을 일부 인정한다. 하지만 유출된 개인정보로 인한 추가적인 손해를 명확하게 입증하지 못하거나, 기업이 법에서 규정한 수준의 보안대책을 마련하고 시행했다면 과실이 없다고 봤다.

▲허들 모델(Hurdle Model)로 본 개인정보 보호조치 의무 수준[자료=전승재 변호사]


전승재 변호사는 ‘허들 모델(Hurdle Model)’을 예로 들어 이를 설명했다. 첫 번째 허들은 ‘법 위반 책임’으로, 법에서 정해놓은 기준(정보보호 수준)을 말한다. 이 첫 번째 허들을 넘지 못했을 경우 법적 처벌을 받는다.

두 번째 허들은 ‘과실책임(부주의)’로 적절한 주의의 정도를 민사법원이 사후에 판단하는 기준이다. 두 번째 허들은 해당 기업이 얼마나 정보보호를 잘했는지 법원이 판단하며, 그 경중에 따라 과실 유무가 결정된다.

여기서 중요한 것은 첫 번째 허들과 두 번째 허들은 그 높이(기준)가 다르다는 것이다. 이 두 개의 기준을 같다고 보면, 사고는 났지만 기업이 법을 어기진 않았기 때문에 배상할 필요가 없다는 결론이 나올 수 있는데, 유독 정보보호 영역의 소송에서는 이러한 결론이 많이 발생하고 있다는 것이 전승재 변호사의 주장이다.

“예를 들면, 2015년 대법원이 내린 옥션 사건의 경우 옥션의 손을 들어줘 피해자들은 피해보상을 한 푼도 받지 못했습니다. 옥션이 톰캣 웹서버에서 관리자 아이디와 패스워드를 변경하지 않고 그대로 사용했음에도 불구하고, 당시 법 규정에 관리자 아이디와 패스워드를 바꾸라는 내용이 없었다는 이유만으로 옥션의 손을 들어줬기 때문입니다. 이처럼 기술적·관리적 보호 의무를 다했다면 특별한 잘못이 없는 한 법률상 또는 계약상 의무를 위반했다고 보기 어렵다는 판결 때문에 지금까지 개인정보보호 관련 사건은 다 기업이 이겨왔습니다.”

하지만 옥션사건의 판결 이후 조금씩 변화의 바람이 불고 있다. 우선 행정안전부와 방송통신위원회가 관련법 고시를 ‘조치는 최소한의 기준’이라고 수정했다. 단순한 조치만으로는 책임을 다했다고 볼 수 없도록 한 것. 첫 번째 허들은 넘을 수 있어도 두 번째 허들은 못 넘을 수도 있다는 판단을 내리기 시작한 것이다. 게다가 첫 번째 허들의 높이(기준) 역시 옥션사건 판결 이후 높아졌다는 게 전승재 변호사의 설명이다.

“첫 번째 허들인 공법적 책임의 기준이 크게 강화됐습니다. 게다가 행정관청의 적극적인 법 집행으로 사업자의 법적 리스크도 증대했습니다. 예를 들면, 종전에는 민사사건에서 개인정보처리자의 의무위반 사실을 피해자가 입증해야 했다면, 현재는 방통위 등 처분성이 입증한 법 위반 사실을 피해자가 민사소송에서 그대로 인용하고 있습니다. 또한, 개인정보 보호조치의무 위반 사실이 행정제재를 통해 확인될 경우, 다른 유출정보(비트코인 등)에 대한 주의의무 위반(과실)도 인정될 가능성이 높습니다.”

전승재 변호사는 2018년 싸이월드 해킹사건에서 대법원이 공법상 형사상 제재의 기준은 근거규정에서 정한 행위의무 위반이지만, 민사상 손해배상의 기준은 업계 평균적으로 요구되는 주의 의무라면서, 실질적으로 1번 허들과 2번 허들의 높이가 다르다는 판결을 내렸다고 강조했다.

이 때문에 개인정보 유출사건의 판도가 앞으로 바뀔 것이라는 전승재 변호사는 기업들도 1번 허들과 2번 허들의 기준을 모두 높임으로써 변화하는 정부의 적극적인 법집행에 따른 리스크에 대비해야 할 것이라고 말했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
오는 7월부터 근로시간이 주 52시간으로 단축되는 조치가 점차적으로 시행됩니다. 이번 조치가 보안종사자들과 보안업계에 미칠 영향은?
보안인력 확충과 워라벨 문화 확산으로 업계 근로여건 개선
보안인력 부족, 인건비 부담 상승으로 업계 전체 경쟁력 약화
기타(댓글로)