정부 지원 거부했는데 “협력 중” 발표한 예스24…거짓말이 불러올 파장은?
정부 지원 거부했는데 “협력 중” 발표한 예스24…거짓말이 불러올 파장은?
KISA “지원 거절당했다”
예스24는 “협력 중” 입장문 내 논란
예스24가 11일 발표한 서비스 접속 오류 관련 2차 입장문. /KISA
국내 최대 인터넷서점 예스24(YES24)가 당국의 지원을 거부하고도 거짓 입장문을 낸 사실이 드러나며 파문이 일고 있다. 나흘째 이어진 랜섬웨어 해킹 사태로 인한 소비자 피해에 더해, 문제를 해결하려는 정부 기관을 속였다는 점에서 기업 윤리와 법적 책임을 둘러싼 비판 여론이 거세다.
엇갈린 주장, 드러난 '거짓 해명'
사건의 발단은 예스24가 11일 낸 2차 입장문에서 시작됐다. 예스24는 "한국인터넷진흥원(KISA)과 협력해 원인 분석 및 복구 작업에 총력을 다하고 있다"고 밝혔다. 하지만 이는 사실과 달랐다. KISA는 "사고 분석을 위해 직원을 두 차례 파견했으나, 예스24 측이 기술 지원에 협조하지 않아 접근을 허용하지 않았다"고 정면 반박했다. KISA 전문가들이 이틀 내내 본사에서 대기했지만 사실상 헛걸음한 것이다.
사이버 보안 전문인력으로 구성된 국가기관의 지원을 거부한 채 내부적으로만 해결하려 한 점, 그러면서도 대외적으로는 "협력 중"이라고 발표한 행태는 비판을 낳고 있다. 보안업계 관계자는 "나흘째 서비스를 정상화하지 못하는 상황에서 KISA의 지원을 거부하는 것은 이해하기 어렵다"고 지적했다.
예스24 민사·형사·행정 '삼중고'…거짓말이 책임 키울 수도
이번 사태는 단순 서비스 장애를 넘어 복합적인 법적 책임 문제가 얽혀 있다. 특히 예스24의 '거짓 해명'은 책임을 더욱 무겁게 만드는 요소다.
첫째, 민사상 책임이다. 예스24는 2천만 회원의 개인정보를 안전하게 보호하고, 문제가 생겼을 때 신속하고 정확한 정보를 제공할 계약상 의무가 있다. 백업 서버까지 마비된 관리 부실에 더해 허위 정보 제공은 명백한 계약 의무 위반으로 손해배상 책임의 근거가 될 수 있다.
대법원은 "정보통신서비스 제공자는 이용자의 개인정보가 훼손되지 않도록 안전성 확보에 필요한 보호조치를 취해야 할 계약상 의무를 부담한다"(대법원 2013다43994 판결)고 판단한 바 있다.
둘째, 형사상 책임이다. 현행법은 기업의 보안 의무를 엄격히 규정한다. '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법)은 기술적·관리적 조치를 소홀히 해 이용자에게 손해를 입히면 처벌하도록 정하고 있다. 만약 개인정보 유출 사실을 알고도 늦게 알리거나 거짓으로 통지했다면 '개인정보 보호법' 위반으로 추가 처벌도 가능하다.
셋째, 행정상 책임이다. 개인정보보호위원회는 이미 개인정보 유출 여부 조사에 착수했다. 법 위반 사실이 확인되면 수십억에 달하는 과징금을 부과할 수 있다. 또한 공정거래위원회는 '전자상거래법'에 따라 소비자에게 거짓 정보를 제공한 행위에 대해 시정명령이나 과징금을 내릴 수 있다.
더 큰 문제는 거짓 발표다. 이 행위 하나만으로도 별도의 범죄 성립 여부를 따져볼 수 있다. 형법상 '위계에 의한 공무집행방해죄'와 '업무방해죄' 적용이 가능하다.
먼저 '위계에 의한 공무집행방해죄'(형법 제137조)다. 여기서 '위계'란 상대방을 속여 착오에 빠뜨리는 것을 뜻하는데, 예스24의 "협력 중" 발표는 명백한 위계 행위에 해당할 수 있다.
KISA는 법률에 따라 사이버 보안 사고 대응이라는 공적 업무를 수행하는 기관이다. 예스24의 허위 발표로 인해 KISA가 정확한 피해 상황을 파악하고 적절한 대응 조치를 취하는 데 혼선을 겪었다면, 이는 공무집행을 방해한 행위로 볼 여지가 충분하다. KISA의 지원을 거부한 행위 자체는 위법이 아닐지라도, 거짓말로 공무 수행에 지장을 초래했다면 형사 책임 대상이 될 수 있다.
다음으로 '업무방해죄'(형법 제314조) 적용 가능성이다. 이번 허위 발표의 피해자는 KISA뿐만이 아니다. 2천만 회원들 역시 "정부 기관과 협력 중"이라는 말을 믿고 사태의 심각성을 제대로 인지하지 못했을 수 있다. 이는 소비자들이 개인정보 유출 가능성에 대비해 비밀번호를 변경하거나 의심스러운 접근 기록을 확인하는 등 스스로를 보호하기 위한 정당한 '업무'를 방해한 결과로 이어질 수 있다.
판례는 업무방해죄가 '방해할 위험'만 발생시켜도 성립한다고 본다(인천지법 2015고정643 판결). 다만, 소비자의 정보보호 활동을 형법상 '업무'로 볼 수 있는지에 대해서는 법리적 검토가 더 필요하다.
소비자 신뢰 추락…투명한 대응이 유일한 해법
결론적으로 예스24는 ▲보안 관리 소홀(민사·형사) ▲늑장·허위 공지(형사·행정) ▲정부 기관 협력 거부 및 기만(형사·행정)이라는 다층적 법률 리스크에 직면했다. 경찰과 관계 기관의 조사가 본격화되면서 책임 소재와 범위는 더욱 명확해질 전망이다.