비스트랩 블로그(beistlab.com)에 개인정보 관련 카테고리를 별도로 개설하였습니다. 본 카테고리에서는 개인정보 보호법과 관련된 내용에 대해서 알아보며 법률 지식과 더불어 실제 사례에 대해서 살펴볼 예정입니다. 정보보호 인력들이 알아야 할 내용들을 이해하기 쉽게 표현하고, 또한 개인정보보호법의 맹점에 대해서도 지적할 예정입니다. 본 카테고리의 글들이 기술자, 법조인 모두에게 유용한 내용이 되기를 바라겠습니다.
 
개인정보 침해사고가 급증하며 이에 대한 과실 여부에 대한 재판도 늘어나는 추세입니다. 개인정보보호는 사회적인 이슈가 되고 있기 때문에 정부는 개인정보보호법이라는 법안을 만들어 발의하였고 해당 법안은 2011년 9월 30일부터 시행되었습니다.
 
해킹은 기업에게 여러 종류의 형태로 피해를 입힐 수 있습니다. 지적재산권 도용이나 서비스 장애로 인한 경제적 피해뿐만 아니라 물리적인 영역까지 피해를 줄 수 있는 가능성이 있습니다.
 
그에 비해 개인정보 유출 사고는 기업이 직접적으로 피해를 입는 형태가 아니기 때문에 기업 입장에선 그동안 크게 중요한 이슈는 아니었습니다.
 
물론 브랜드 이미지 하락, 고객들의 충성도 저하, 회원들의 명의 도용 등의 부작용을 갖게 될 수도 있지만 이러한 것들은 간접적인 피해의 범주에 포함됩니다.
 
그러나 개인정보보호법이라는 법안 때문에 기업의 입장이 달라졌습니다. 이제는 기업 입장에서도 중요한 이슈로 부각되고 있다는 얘기입니다. 그 이유는, 침해사고가 어떻게 일어났고, 또 그에 대한 대응이 어땠는지에 따라 기업의 과실 여부가 결정되고 배상해야 할 규모가 달라지기 때문입니다.
 
2006년부터 굵직굵직한 개인정보 침해 사고에 따른 재판이 이루어졌고, 판례들이 쌓이며 어느 정도 법 체계가 잡혀가고 있습니다. 즉, 기업의 과실 판단 여부와 배상 규모가 구체적으로 명시되고 있다는 이야기입니다.
 
그렇다면 개인정보보호법의 관점에서 봤을 때, 기술자들은 어떤 사항들에 초점을 맞추어야 할까요? 기존의 판례를 살펴보면 해답을 알 수 있습니다. 옥션은 2008년에 개인정보 침해 사고를 당했습니다. 옥션 온라인 가입자들은 피해자를 자청하며 옥션에 소송을 걸었고 2010년에 (1차)판결이 났습니다. (사건번호: 2008가합3141)
 
기업이 해킹을 당하여 고객의 개인정보가 유출되는 것은 분명 유감스러운 일이지만, 그렇다고 침해 사고가 있을 때마다 손해 배상을 해야 한다면 정보서비스를 하려는 회사가 없을 겁니다. 재판의 쟁점은 “피고(옥션)는 해킹을 당하지 않기 위해 어떤 노력을 했고, 이는 합당한가?“라고 볼 수 있습니다.
 
재판부는 옥션의 손을 들어주었고, 옥션은 배상 책임으로부터 벗어나게 되었습니다.(편집자 주. 최종 판결은 대법원 판결까지 기다려 봐야 하는 상황) 판결에 따르면 다음과 같은 기준으로 이를 평가했다고 합니다.
 
1.관련 법령이 정보통신서비스 제공자에게 요구하고 있는 기술적, 관리적 보안 조치의 내용
2.해킹 당시 당해 정보통신서비스 제공자가 취하고 있던 보안 조치의 내용
3.해킹 방지 기술의 발전 정도
4.해킹 방지 기술의 도입을 위한 경제적 비용 및 그 효용의 정도
5.해커가 사용한 해킹 기술의 수준
6.개인정보 유출로 인해 이용자가 입게 되는 피해 정도
 
옥션은 다음과 같은 보안 의무를 지켰다는 것을 재판 과정에서 입증하여 1차 판결에서 배상 책임을 벗어났습니다.
 
1. 개인정보 관리계획의 수립 및 시행
2. 업무요청시스템을 통한 개인정보처리시스템 접근 제어 및 접근 기록 저장
3. 침입탐지시스템 및 침입방지시스템 운용
4. 정보보호정책 및 관리지침 등을 통한 패스워드 작성 규칙 수립 및 시행, PC 보안 지침 수립 및 시행, 스팸 메일 및 인터넷 유해사이트를 차단하는 응용 소프트웨어 운영
5. 회원 비밀번호의 일방향 해쉬 알고리즘을 통한 암호화 저장, 개인정보 전송 구간의 SSL 암호화 송신 및 수신
6. 복수의 백신소프트웨어 설치 및 운영, 업무요청시스템을 통해 사전 승인 후 개인정보 출력가능
 
보다 자세한 내용들은 금융결제원에서 작성한 “?????????? ????? ?????? ????? ??? ????????? ???????“를 참고하시기 바랍니다. 2006년부터 있었던 6개의 개인정보 침해사고 재판을 요약한 내용입니다. 일부 사례의 법원 판례를 입수하여 살펴본 결과, 중요한 내용은 포함되어 있는 것을 확인했으니 좋은 참고 내용이 될 것입니다.
 
이번 글은 침해사고 전의 보호 조치 여부에 따른 배상 책임 판결을 다루었으며, 다음 글에서는 침해사고 후의 대응에 따른 배상 규모 결정 판결에 대해 다루겠습니다.
◇참고: 법원 판례는 대법원 홈페이지에서 일정 수수료를 지불하면 다운로드 받으실 수 있습니다.
◇금결원에서 작성한 '개인정보 유출 관련 판례 및 금융권 시사점' 파일은 데일리시큐 자료실에서 다운로드 할 수 있다.
[글. beistlab 이승진]