주간동아 991

2015.06.08

최소한 가이드라인 지키면 면책

해킹사고에 관한 기업의 책임

  • 최강욱 법무법인 청맥 변호사

    입력2015-06-08 11:23:00

  • 글자크기 설정 닫기
    최소한 가이드라인 지키면 면책
    인터넷 오픈마켓 사이트나 포털사이트에 온라인 회원으로 가입하면서 이용약관에 따라 제공한 개인정보가 해킹되는 사고가 잇따랐고, 수만 명 내지 수십만 명에 달하는 피해자가 관련 회사를 상대로 집단소송을 제기하는 일이 이어졌다. 그 과정에서 일부 변호사가 많은 수익을 얻은 반면, 불성실하게 변론한다는 불만이 제기되기도 했다.

    2008년 1월 초 옥션 서버가 해킹되는 사고가 발생했다. 수사 결과에 따르면 이 해킹사고는 중국인 해커로 추정되는 홍성(洪星) 등이 1월 3일 옥션 웹서버 가운데 하나에 초기 설정 상태인 아이디와 비밀번호로 접속한 다음 각종 해킹 기법을 동원해 데이터베이스 서버의 관리자 아이디와 암호화된 비밀번호를 알아냈다. 그리고 다음 날인 1월 4일부터 8일까지 4회에 걸쳐 서버에 저장돼 있던 회원정보를 누출한 것으로 추정된다.

    사고 몇 달 후 14만 명이 넘는 원고가 피고 옥션 등을 상대로 개인정보가 도난 및 누출되지 않도록 안전성 확보에 필요한 기술적, 관리적 조치를 다하지 않음으로써 원고들의 개인정보가 유출됐다며 손해배상을 청구했다. 하지만 1심과 2심 모두 피고 옥션이 해킹사고를 방지하기 위해 취해야 할 기술적, 관리적 조치 의무를 위반하지 않았다며 원고들의 청구를 기각했다.

    최근 이에 대한 대법원 판결이 있었다. 해킹사고에 관한 손해배상 책임의 판단 기준을 처음으로 제시하는 판례가 나온 것. 대법원은 정보통신서비스가 ‘개방성’을 특징으로 하는 인터넷을 통해 이뤄지고, 서비스 제공자가 구축한 네트워크나 시스템 및 그 운영체제 등은 취약성을 내포하는 만큼 ‘해커’ 등의 불법적인 침입 행위에 노출될 수밖에 없으며, 완벽한 보안을 갖춘다는 것은 기술 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 않다고 봤다.

    또한 해커 등은 여러 공격 기법을 통해 보안조치를 우회하거나 무력화하는 방법으로 침입하지만, 이를 방지하기 위한 보안기술은 해커의 새로운 공격 방법에 대한 사후적 보완 방식으로 이뤄지는 것이 일반적인 점 등 특수한 사정이 있음을 지적했다. 그러면서 해당 사건의 해킹 수법이나 당시 보안기술 수준, 옥션이 취하고 있던 전체적인 보안조치 내용과 수준 등 여러 사정을 고려하면, 옥션이 구(舊) 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제28조 제1항에서 정한 기술적·관리적 조치를 취해야 할 의무나 정보통신서비스 이용계약에 따라 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 의무를 위반했다고 보기 어렵다면서 원고 측 청구를 모두 기각했다. 해킹사고 당시 국내에서는 암호화 및 웹 방화벽 기술이 익숙지 않아 기업에 책임을 묻기가 부담스러웠던 것으로 보인다.



    과거 해킹사고와 관련해 이용자가 승소했던 유일한 사례인 네이트·싸이월드 해킹사건의 경우 1심에서 1인당 각각 100만 원, 20만 원씩 위자료가 인정됐으나 최근 서울고등법원이 위 대법원 판결의 취지에 따라 원심을 파기하는 판결을 했다.

    결국 해킹사고에 관한 손해배상 소송에서 이용자가 승소한 사례는 전무하며 앞으로도 어렵게 됐다. 개인정보 유출에 대한 경각심은 점점 무뎌지고 기업들은 최소한의 가이드라인만 지키면 보안사고가 나도 면책받을 수 있다는 잘못된 인식이 확산되지 않을까 우려된다. 기술 발전과 신사업의 이득이 정작 고객의 피해를 외면하는 도덕적 일탈로 이어져서는 안 될 일이다. 고도정보사회에서 정보 주체의 권리를 두텁게 보호하는 방법은 앞으로도 계속 보완, 발전돼야 할 것이다.



    댓글 0
    닫기