전체메뉴 검색창 열기 / 닫기
닫기

[케이스스터디]해킹을 방지 못한 개인정보처리자의 법적 책임 판단기준<1>

발행일2018.02.14 09:00

2008년 옥션과 2011년 싸이월드에서 발생한 해킹사고로 국내 인터넷 인구 대부분은 개인정보 유출 피해를 당했다. 두 사건에서 선고된 대법원 판결은 모두 '개인정보처리자의 손해배상책임 없다'였다. 법리적 근거는 서로 달랐다. 두 판결을 비교해 우리 정보보호 법제도가 나가야 할 방향을 짚어본다.

옥션은 매우 초보적 보안조치를 취하지 않아 1800만명 회원정보가 유출되는 해킹을 당했다. 유출 피해자가 제기한 소송에서 대법원은 옥션이 '그 당시 법을 지켰다'는 이유로 손해배상을 하지 않아도 된다고 결론 내렸다. 첫 단추를 잘못 끼운 판결이다.

해킹 발단은 옥션이 웹서버(Tomcat 서버) 관리자 접속 비밀번호를 변경하지 않고 제조사 초기설정 상태(공공에 알려져 있는 값) 그대로 방치했다. 유사한 해킹 사례로, 최근 가정집이나 매장 등에 설치된 IP카메라에서 제조사 초기 비밀번호가 변경되지 않고 방치된 것을 악용해 '몰카' 영상을 수집한 일당이 검거된 사건이 있다. 두 사건의 차이점이라면, 'IP카메라 몰카' 사건의 피해자는 보안 지식이 부족한 일반 소비자인 반면, 옥션은 전자상거래 분야 선도 기업이었다는 것이다.

Photo Image

옥션 판결의 문제점은 '법만 지켰다면 민사상 손해배상책임도 없다'는 논리구조를 취했다는 것이다. '법만 지켰다면 형사 처벌받지 않는다'는 옳은 명제지만, 민사에서는 다른 논리가 적용돼야 한다. 예컨대 주차장에서 차문을 열다 옆 차에 흠집을 내는 '문콕' 사고를 낸 사람은 당연히 옆 차의 수리비를 배상해야 한다. 법에 “문콕 사고를 내지 말라”는 규정이 있어서가 아니라, '부주의'를 했기 때문에 상대방의 손해를 배상하는 것이다.

이처럼 사고가 났을 때 행위자와 피해자 중 누가 손해를 감당해야 하는지를 나누는 기준은 “행위자가 법을 위반했느냐”뿐 아니라 “행위자가 손해방지를 위해 요구되는 사회통념상 주의의무를 다했느냐”도 될 수 있다. 그러한 주의의무를 다하지 않은 경우 '과실'이 있다고 평가된다.

우리나라의 법에는 개인정보처리자가 따라야 할 '안전성 확보조치 기준'을 상당히 세밀하게 정했다. 그렇다고 해서 일선의 보안 관리자가 지켜야 할 모든 주의의무를 빠짐없이 열거하고 있지는 않다. 여기에는 크게 두 가지 이유가 있는데, 첫째, 일정한 절차를 밟아 개정해야 하는 법의 특성상 끊임없이 발전하는 IT 기술에 당연히 후행할 수밖에 없다는 점에서 어느 정도의 법의 공백은 불가피하다. 둘째, 법에서 '안전성 확보조치 기준'을 마련한 1차적 이유는 위반행위자를 '처벌'하기 위함이지 민사상 과실 판단기준을 망라하기 위한 것이 아니다. 성질상 위반 시 '처벌' 받아야 마땅한 기초적 행위의무를 위주로 규율하는 것이 본래 취지에 맞다.

옥션 사건에서도 법에 공백이 있었다. 서버 관리자 비밀번호 제조사 초기값을 방치하면 안 된다는 주의의무는 인터넷 초창기부터 업계에 보편화 됐다. 하지만, 서버 관리자 비밀번호의 주기적 변경을 요구하는 법규정은 2008년 옥션 해킹 사고가 터진 이듬해인 2009년에야 뒤늦게 신설됐다. 그럼에도 대법원은 해킹 당시인 2008년에는 관리자 비밀번호 변경을 요구하는 법규정이 없었다는 이유로, 옥션이 당시 법을 지켰고 나아가 정보유출 피해자들에 대한 손해배상책임도 없다고 판결했다.

Photo Image

전승재 법무법인 바른 변호사 seungjae.jeon@barunlaw.com

“말도 안되는 가격!! 골프 풀세트가 드라이버 하나 값~~ 598,000원”
댓글 보기


주요뉴스