한국인터넷진흥원이 주최하고 한국CPO포럼이 주관한 국제 개인정보보호 심포지움 ‘Privacy Global Edge 2013’이 5월 2일 코엑스 그랜드볼룸에서 개최됐다.
 
구태언 테크앤로 법률사무소 대표변호사는 ‘해킹사고시 개인정보처리자의 과실 판단 기준’이란 주제발표를 진행해 관심을 끌었다.
 
구 변호사는 “개인정보보호법상 손해배상책임은 과실책임주의를 전제로 하고 있다”며 “하지만 최근 법원 판결에서 과실유무 판단시 법령과 고시의 의무를 확대 해석하거나 새롭게 해석해 기업에 막대한 비용이 수반되는 법적 의무를 지우는 경향이 있다. 법원은 명시된 법령과 고시에 따라 판결해야 하며 확대되고 새로운 해석으로 과실유무를 판단하게 되면 사회적으로 많은 부작용이 발생할 수 있어 명확한 과실판단 기준을 마련해야 한다”고 강조했다.
 
그는 “최근 법원은 시행규칙과 고시에 구속되지 않고 스스로 판단하고 있다”며 “기준을 너무 낮게 설정하거나 법이 허용하는 한도를 넘을 경우 사실상 무과실책임으로 흐를 위험성이 있어 법원은 법이 설정한 기준 등을 존중할 필요가 있다”고 말했다.
 
법에는 과실 유무 판단 기준을 명확히 정하고 있다. 안전조치의무와 기술적 조치, 관리적·물리적 조치, 사후조치 등이 그것이다.
 
안전조치의무는 개인정보보호법 제3조 제4항 개인정보관리의 원칙과 제29조 안전조치 의무로 규정하고 있다. 개인정보처리자는 개인정보가 분실, 도난, 유출, 변조 또는 훼손되지 안도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안정성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 한다고 규정하고 있다.
 
구 변호사는 “고시의 경우에는 통상적으로 규범성이 없으나, 기술적, 전문적인 사항에 관해 법령의 위임에 따라 제정된 고시의 경우 상위 규범인 법률 및 시행령과 결합해 법규성을 가진다”며 “법원은 이러한 고시를 과실 판단 기준으로 삼아야 한다”고 강조했다.
 
더불어 그는 “사건 전에는 알 수 없었던 징조 같은 것을 결과를 알고 난 다음에는 쉽게 알 수 있다. 이것이 판단에 오류를 불러일으킬 수 있다”며 “사고발생과 법원의 판단 사이에 상당한 시간적 공백이 존재한다. 그 사이에 수사를 통해 해킹 방법이나 경로가 밝혀지거나 기술이 발달해 그러한 침해를 쉽게 막을 수 있는 것처럼 오인할 수 있다. 그 결과 과실이 쉽게 인정될 가능성이 높기 때문에 이에 대한 대비가 필요하다”고 말했다.
 
2008년 발생한 옥션해킹 사건에 대해 법원은 법령과 고시에서 요구하고 있는 기준을 준수했는지 여부를 놓고 과실 유무 판단 기준으로 삼았다. 반면 SK컴즈 해킹사건에 대해 서울중앙지법과 서울서부지법의 판결의 상이함을 들며 법원의 과실 유무 판단에 명확한 기준 설정이 필요하다고 강조했다.
 
서울중앙지법은 SK컴즈에 대한 주의의무 위반 과실 주장에 대해 “기업용 프로그램을 사용했다면 해킹이 방지되었을 것이란 점이 인정되지 않으면 인과관계는 성립하지 않는다. 즉 공개용 프로그램 사용만으로는 의무 위반이 아니다. 또 OTP 등 고시에 요구하는 의무를 이행했고 구식 암호화 방식이라는 사정만으로는 고시 의무를 위반한 것으로 인정하기 힘들다”며 SK컴즈의 주의의무 위반 과실을 인정하지 않았다.
 
반면, 서울서부지법은 “대용량 개인정보의 유출 탐지 실패, 공개프로그램을 사용, FTP 서비스를 제공, 보안관리자가 로그아웃을 하지 않고 기타 Idle Time이나 Connect Time 미설정, 암호화 여부는 손해배상 책임 여부에 큰 영향이 없다”는 등의 이유를 들어 SK컴즈의 과실을 인정하며 원고 2882명에게 각각 20만원의 위자료를 지급하라고 판결했다.
 
이에 대해 구 변호사는 서울서부지법의 판결에 대한 한계를 몇가지 지적했다. 우선 모니터링 실패가 주의의무 위반인지가 쟁점이다. 그는 “DB서버에 대용량의 트래픽이 발생한 것이 탐지되어 이를 차단하는 것이라면 이미 개인정보가 유출되고 있는 상황을 의미한다”며 “유출방지를 위해서는 이와 관련된 명령을 차단해야 하나, 이는 DB 서버에 도달하는 모든 자료요청 명령의 적법성을 판단하라는 것으로 비용의 발생과 서비스 속도저하를 유발할 수 있다”고 지적했다.
 
또 “주민등록번호 등은 법령상 암호화되어 있어 모니터링을 하더라도 내용 파악이 불가하다”며 “어떤 수준의 DLP를 도입해야 하는지 등에 대한 법적 기준이 없는 상황이며 대상 판결의 논리에 따르면, 개인정보가 유출되면 충분한 모니터링 의무를 이행하지 않은 것이 되어 유출되면 책임이 있다는 식의 결과책임주의로 귀결될 수 있어 문제가 있다”고 덧붙였다.
 
또 하나 쟁점사항은 공개용 프로그램 사용이 주의의무 위반인지여부다. 서부지법은 공개용 알집 프로그램을 사용해 유출 가능성이 높아졌다고 판시했다. 이에 대해 구 변호사는 “악성 ALAD.dll은 해커가 사용한 다양한 공격 방법 중 하나일 가능성이 높다. 기업용 알집을 사용했다 하더라도 유출을 막을 수 없었을 것이고 외부와의 연결이 잦다는 것은 이 사건과 인과관계가 없는 사실관계일 뿐이며 외부와의 연결이 잦다고 해 보안상 더 취약한 프로그램이라 단정할 수 없다”고 밝혔다.
 
더불어 “수많은 어플리케이션에 DLL을 모두 감시하라는 것은 불가능하다. 세계 최고의 보안회사도 발견하지 못한 악성코드를 SK컴즈에게 발견하라는 주의의무를 부과하는 것은 타당하지 않다”고 말하며 법원 판단의 한계를 지적했다.
 
이외에도 그는 FPT 서비스 제공이 주의의무 위반이라고 한 재판부의 판결에 “알려진 FTP를 차단한다고 하더라도 이는 다른 방식을 사용해 우회공격이 가능하다. FTP를 모두 차단하라는 것은 인터넷이 되지 않는 먹통 PC를 만들라는 것과 같다”고 말하며 “또 로그아웃 미조치가 주의의무 위반이라고 했는데 고시에는 접근통제에 관한 규정만 있고 로그아웃에 관한 규정은 없다. 엄격한 보안조치가 구축된 기업 내부망에서 업무를 하는 것이라는 점을 간과한 것이다. 같은 논리에 따르면, 법원의 판결조회시스템에 자신의 업무용 PC로 로그인해 업무를 보다가 로그아웃을 하지 않은 채 퇴근한 판사는 역시 불법행위를 한 것으로 봐야 한다. 로그인 중에 백그라운드에서 작업을 하는 것과의 차이가 없으므로 이런 행위가 정보유출과 인과관계는 없다”고 지적했다.
 
그는 법원의 과실판단 기준을 완화하는 것이 ICT 업체에 과중한 부담과 신규업체의 시장 진입을 저해한다고 주장한다.
 
“우회기술이 많은 상황에서 ICT업체에 이러한 점을 강요하는 것은 불필요한 비용을 부담시키는 것이다. 이러한 판결이 계속 될 경우 초기 비용을 부담할 수 없는 벤처기업 등 새로운 ICT기업들이 시장에 진입하는 것을 막는 부작용을 가져올 것”이라며 “증가한 비용들은 결과적으로 이용자와 국민의 부담으로 귀결될 것”이라고 지적했다.
 
그는 “고시 역시 상위 법령과 결합해 법규성을 가진다고 봐야 한다. 개인정보보호법이나 정통망법과 시행령, 고시는 개인정보보호의 필요성과 보호조치에 수반되는 인적, 물적, 금전적 부담을 종합적으로 고려해 수범자가 부담하는 의무를 매우 상세히 규정하고 있다. 법원은 이러한 점을 고려해 주의의무 위반 여부를 판단해야 한다”며 “법원이 해석을 통해 수범자의 의무를 확장할 경우 법적 안정성을 해하고 기존 ICT업체에 부담과 신생 기업의 시장 진입을 막는 부작용이 발생할 것이다. 법원은 법령과 고시 해석에 있어 최종적 판단권을 가지고 있을 뿐 새로운 입법을 할 수는 없다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com