ETRI 연구원 출신 변호사가 본 '최악의 해킹' 사건 "포스 업체들에 책임 있다"
ETRI 연구원 출신 변호사가 본 '최악의 해킹' 사건 "포스 업체들에 책임 있다"
경찰⋅금융위⋅금감원의 최신 분석 결과는 "해킹범은 악성코드로 포스 단말기 공격한 것"
암호화 안 된 정보 유출⋯ 한국전자통신연구원(ETRI) 출신 이홍섭 변호사 "업체 책임 있다"
시중 포스 단말기들, 법에서 정한 '정보보호 기술기준'을 충족 안 했을 확률 높아
전 국민의 금융⋅개인정보가 유출됐다는 소식이 전해진 후 "정보 관리 업체에 법적책임을 물릴 수 있는지"를 궁금해하는 사람들이 많다. 이를 본 디지털 전문 연구원 출신 변호사는 "업체에 책임을 물을 수 있다"고 했다. 어떤 이유일까? /셔터스톡⋅편집=이지현 디자이너
전 국민의 금융⋅개인정보가 유출됐다는 소식이 전해진 후 "정보 관리 업체에 법적책임을 물릴 수 있는지"를 궁금해하는 사람들이 많았다.
앞서 로톡뉴스는 변호사들의 자문을 받아 "지금 드러난 정도로는, 관리 업체의 책임을 따지기 어렵다"는 기사를 내보냈다. "어떤 방식으로 해킹이 이뤄졌는지 등이 밝혀질 때까지 기다려봐야 한다"는 취지였다.
하지만 한국전자통신연구원(ETRI) 출신인 이홍섭 변호사는 다르게 봤다. "암호화되지 않은 정보가 유출됐다는 언론보도가 맞는다면, 관리 업체의 책임이 법정에서 인정될 가능성이 크다"고 말했다.
업체에 배상책임을 물리려면, 무엇보다 "해당 업체가 '기술적 보호 조치'를 제대로 하지 않았다"는 점이 인정돼야 한다. 그런데 암호화를 거치지 않은 '날것' 그대로 개인 금융 정보를 보관하고 있었다면 곧장 '기술적 보호 조치를 소홀히 했다'는 점으로 연결되므로, 배상책임까지 한 번에 인정될 것이란 분석이었다.
이 변호사는 "해킹을 당한 업체가 법에서 정한 암호화 기준만 따랐다면 이번에 유출된 개인정보는 (해독하기 어려운) '암호화된 정보'였을 것"이라고 말했다. 반대로 암호화되지 않은 정보가 유출됐다면 업체는 법이 정한 기준을 따르지 않았다는 말이다. 법이 정한 기준을 따르지 않았다면, 관리 책임이 인정되고 법적 배상도 뒤따른다.
ES 법률사무소의 이홍섭 변호사는 서울대 전기컴퓨터공학부에서 석사를 마쳤다. 이후 ETRI에서 연구원으로 5년, 주식회사 뉴라텍⋅뉴라컴 등에서 책임 연구원을 지냈다. ETRI는 정보통신 등 디지털 혁신기술 분야에서 대한민국을 대표하는 국가 지능화 종합 연구기관이다.
지난 주말 처음 알려진 '최악의 개인정보유출 사고'. 지금까지 드러난 분석 결과는 "해킹범은 악성코드로 포스 단말기를 공격했고, 여기서 61GB 용량의 신용카드 결제 정보를 빼내 갔다"는 쪽으로 가닥이 잡힌다.
이홍섭 변호사는 "만약 포스 단말기가 해킹당한 게 맞는다면 현재 시중에 나와 있는 POS 단말기들은 여신전문금융업법, 여신전문금융업감독규정 등에서 정한 '신용카드 단말기 정보보호 기술기준'을 충족하지 않은 것으로 판단된다"고 밝혔다.
이 변호사는 "해당 기준에 따른 암호화 기준은 112bit(비트) 이상의 보안 강도를 갖는 암호 알고리즘"이라며 "여기에 따라 암호화만 제대로 되어있었다면 악성코드로 정보가 유출된다고 하더라도, 암호화 처리된 정보가 유출되었을 것"이라고 밝혔다.
'112비트 이상의 보안 강도'란 무작위로 입력해서 암호를 푸는 '무차별 대입 공격'(brute force)을 20년간 버틸 수 있는 수준을 말한다.
그런데 이번에 유출된 정보에는 암호화가 되지 않은 주민등록번호와 카드 번호, 유효기간과 CVC 값 등이 대거 포함되어 있던 것으로 수사 당국은 보고 있다. 기준을 지키지 않은 채 보관하고 있었던 것이다.
포스 단말기를 공급⋅관리하는 부가통신업자(VAN사)가 해당 기준을 어긴 경우 금융위원회는 2억원 이하의 과징금을 부과할 수 있다. 이 변호사는 "여기에 해당할 것으로 판단된다"고 밝혔다.
그렇다면, 이번에 개인정보유출 피해를 입은 개개인은 위자료 등 손해배상도 받을 수 있을까. 이 변호사는 "가능성이 있다고 보인다"며 "기술적 보호 조치가 미흡했던 책임을 물어 10만원을 넘는 위자료가 인정될 수 있을 것 같다"고 했다.
