전 국민 개인정보가 털렸다? '최악의 해킹' 사건⋯업체 책임을 변호사와 따져봤다
전 국민 개인정보가 털렸다? '최악의 해킹' 사건⋯업체 책임을 변호사와 따져봤다
"전 국민 금융⋅개인 정보 털렸다" 보도하면서 후폭풍 거셌는데
금융위⋅금감원⋅경찰 "실제 개인정보 용량은 훨씬 적다"며 사건 일축해
해킹당한 기업의 책임 인정될 수 있을까? 변호사들에게 물어봤다
전 국민을 충격에 빠뜨린 사상 최악의 개인정보 유출 소식. 금융감독원과 경찰청이 "실제 저장된 개인정보 용량은 그보다 훨씬 적다"며 진화에 나섰지만, 불안감은 가시지 않고 있다. /셔터스톡⋅편집=이지현 디자이너
"[단독] 전 국민 금융⋅개인 정보 털렸다."
지난 주말 알려진 '개인정보 유출 사고' 소식은 많은 사람을 충격에 빠뜨렸다. 알려진 내용대로라면 사실상 거의 모든 국민의 금융 정보가 해커 손에 들어간 것이기 때문이다. 금융감독원과 경찰청이 "실제 저장된 개인정보 용량은 그보다 훨씬 적다"며 진화에 나섰지만, 불안감은 가시지 않았다.
16일 분석 결과 "해킹범은 악성코드로 '카드 결제기 포스(POS)'를 공격했고, 여기서 신용카드 결제 정보가 빠져나갔다"는 사실이 알려졌다. '카드사'가 아니라 '포스 단말기 업체' 잘못이 클 수 있다는 말이다.
하지만 어느 쪽이든 개인 정보가 빠져나갔다는 사실에는 변함이 없다. 이 일로 피해를 본 사람들은 포스기를 관리하는 업체 측에 책임을 물을 수 있을까. 개인정보 사건 경험이 풍부한 변호사들과 검토해봤다.
변호사들은 "정확한 건 개인정보가 유출된 경위와 조사 내용에 따라 달라질 것"이라면서도 "결국 쟁점은 해당 업체가 '기술적으로 충분한 보호 조치를 취했느냐'"라고 분석했다. 충분히 그렇게 했다면 "업체의 책임이 없을 것"이라고 했고, 반대로 그게 아니라면 "책임이 인정될 것"이라고 했다.
비슷한 해킹 사건에 대한 대법원의 판단 기준이 있다. 지난 2011년에 터진 '싸이월드⋅네이트 해킹' 사건이다. 당시 악성코드 해킹으로 3500만명의 개인정보가 유출되었지만, 지난 2015년 대법원은 "업체가 위자료 등을 배상할 책임이 없다"고 판시했다.
"해킹 사고 당시 업체가 필요한 보호조치를 취해야 할 의무를 위반했다고 보기 어렵다"는 판단이었다.
법무법인 태일의 최재윤 변호사는 "업체가 기술적⋅물리적⋅관리적 보안 대책을 마련했고, 준수했는지 여부에 따라 법원 판단이 달라질 수 있다"며 "업체가 법적 의무를 다했다면 해킹으로 인한 개인정보 유출은 업체의 책임이 아니기 때문"이라고 했다.
그렇다면, 이번 해킹 사건도 이때와 마찬가지로 업체 측에 책임을 묻기 어려울까. 변호사들은 "이번에는 다를 수 있다"고 했다. 법원이 이런 문제에 대해 점차 엄격한 기준으로 판단하고 있다는 이유에서였다.
법률 자문
①높아진 개인정보에 대한 민감도
법무법인(유) 한별의 강민주 변호사는 "(그때와 비교하여) 사회 통념상 개인정보에 대한 민감도가 나날이 상승하고 있다는 점에 비추어 볼 때 이전 사례보다 엄격한 기준으로 판단될 가능성이 있어 보인다"고 밝혔다.
②해킹 수법 고도화에 따른 엄격한 보호조치 의무
유어스 법률사무소의 임주혜 변호사도 비슷한 의견이었다. "개인 정보 유출 수법이 고도화되고 있는 만큼, 이를 방지할 수 있는 보안 체계도 발전하고 있다"며 "과거 몇 차례 대규모 유출 사고 등을 통해 고시 등에 일정 횟수 이상 인증 실패 시 접속 차단 조치 의무, 과다하거나 비정상적인 접속 탐지 조치 강화 등의 의무가 보다 세밀하게 부여된 만큼 경위에 따라 기업의 과실이 인정될 여지도 있다"고 했다.
종합해서 볼 때 '업체가 충분한 개인정보 보호 조치를 취했느냐'의 기준을 "법원도 종전보다 엄격하게 판단할 가능성이 높다"는 것이다.
구체적인 위자료는 강민주 변호사가 "1인당 20만원 선까지도 가능할 수 있을 듯하다"고 내다봤다. 지난해 5월 온라인 커뮤니티 '뽐뿌' 해킹 사건을 두고 "20만원의 위자료를 지급해야 한다"고 법원이 판단했기 때문이었다.
다만 "개인정보처리자인 업체의 책임이 인정될 가능성 자체가 크지 않다"고 본 변호사도 있었다.
법률 자문
법률사무소 더엘의 김학영 변호사는 "법원의 기본적인 입장이 변경되기는 어렵다고 판단된다"며 "현재 알려진 정보로는 업체가 이러한 기준을 준수했는지 여부를 판단하기 어렵다"고 했다.
이어 "의도적인 개인정보 유출이 아니라 해킹 사고인 이상 업체도 소비자 개인과 마찬가지로 피해자"라며 "해킹 기술이 나날이 고도화되고 있는 상황에서 업체 측에 무거운 책임을 지우는 것이 타당한지는 의문"이라고 했다.
"과징금 등 업체에 책임을 묻게 되면, 향후 소비자들이 손해배상을 청구할 때 어려움을 겪을 수 있는 점도 우려된다"고 김 변호사는 말했다.
법무법인 린의 구태언 변호사도 비슷한 입장이었다. "이번 해킹의 수준이 동종 사업자가 도입한 보안 조치로도 막을 수 없는 수준인 고도의 해킹이었다는 사정을 업체가 입증하면 법적 책임을 면제받을 수 있다"며 "아직까지 섣불리 특정 기업의 책임을 논하기는 어렵다"고 했다.
구 변호사는 과거 대형 개인정보 유출 사건을 담당한 경험이 있다. 지난 2008년 '옥션 해킹' 사건, 2011년 '싸이월드⋅네이트 해킹' 사건, 2014년 '카드3사 해킹' 사건 등이다.
그러면서 "정보화 시대에 정보 보안 사고를 완전히 막을 수는 없다"며 "정부가 아무리 노력해도 '코로나19' 바이러스를 퇴치하지 못하는 것과 마찬가지"라고 설명했다. 어쩔 수 없이 발생하는 측면을 인정해야 한다는 것이다. 다만 중요한 것은 "기업이 경영 우선순위에 정보 보호를 두고 있는지 등의 '방역 태세' 등을 점검하는 것"이라고 했다.
