[톡톡 토크] 개인정보 유출인 듯 아닌 듯 유출 사건?

국내, 고의성 無·그야말로 어쩔 수 없는 유출로 규정

해외, 향후 손해를 입을 수 있다는 가능성은 피해로 안 봐

[보안뉴스 주소형] ‘피해자는 있는데 가해자가 없는 사건’이 또 나왔다. 지난 2008년에 발생했던 옥션 유출사건에 대한 최근 대법원 판결이 그것이다. 물론 법에 의거해 정당한 절차를 거쳐 난 판결이다. 하지만 당시 우리나라 국민 4,900만 명 가운데 1,080만 명이 피해자였던 사건. 국민 5명중에 1명꼴의 정보가 유출됐던 사건이 또 다시 ‘물음표’로 남게 됐다.

그런데 이런 아이러니컬한 사건은 우리나라에서만 일어나는 것이 아니다. 해외에서도 비슷한 사례들을 찾을 수 있었다. 정보가 유출됐고 피해자도 있으나, 법의 테두리 안에서 따져본 결과 고의성이 없고 그야말로 ‘어쩔 수 없이’ 유출된 것으로 규정되어 해당 기업이 무죄로 판결 난 사건들 말이다. 과연 해외에서는 어떤 논리로 이런 판결을 냈는지 알아봤다.

해외에서의 판결 논리는 국내와는 다소 달랐다. 몇 개의 판례 내용 및 관련 보고서를 살펴보니 공통적으로 눈에 띄는 부분이 있었는데 바로 사실상의 피해 여부 테스트(Injury-in-fact test)’를 통과하지 못했기 때문이라는 것. 쉽게 말해 피해자를 피해자로 판단하지 않았다는 내용이다. 유출로 인해 파생된 일들이 과연 ‘피해’인지를 따져보는 것이라고 한다. 단 미래에 손해를 입을 수 있다는 가능성은 피해로 인정하지 않는다는 것이 원칙이다. 예를 들어 A라는 기업이 해킹을 당해 B라는 사람의 전화번호가 유출됐는데 이로 인해 B는 스팸전화 및 문자를 받기는 했으나 이를 피해라고 보기에는 무리가 있을 수 있다는 것이다.

다음은 각 사건의 간략한 줄거리와 당시 판결문을 발췌한 말들이다.

1. 2003년도에 발생해서 2006년에 최종판결이 내려졌던 사건이다. 민간 데이터 관리 기업인 엑시엄(Acxiom)사의 서버가 해킹당해 16억 건 이상의 고객 정보가 유출됐다. 결국 고객들의 전화번호, 이메일, 주소는 물론 사회보장번호(Social Security Number) 등이 광고회사 손으로 들어갔다. 이로 인해 해당 고객들은 스팸 메일 및 전화에 시달렸지만 이는 ‘사실상의 피해 여부 테스트’를 통과하지 못했다. 이에 따라 고객들의 집단소송은 원고 패소 판결됐다. 당시 판결을 내린 아칸소(Arkansas) 주 연방법원은 “스팸메일이나 스팸전화를 받은 것만으로는 피해로 보기 어렵고 명의도용의 가능성 역시 피해라고 규정지을 수 없다”고 밝혔다.

2. 2006년에 소송이 시작돼서 2008년에 최종판결이 내려졌던 사건이다. 지금은 뱅크오브아메리카(Bank Of America)에 의해 인수됐지만 당시 대형 모기지 기업이었던 컨트리와이드(Countrywide)사에서도 고객 정보가 유출됐다. 이는 컨트리와이드사 내부 직원이 다른 곳에 고객 정보들을 팔아넘긴 것이다. 이로 인해 200만건이 넘는 고객들의 개인 정보들과 금융 정보까지 유출된 것이다. 해당 고객들은 지나친 스팸 전화 등에 시달려 전화번호를 바꿔야할 지경이고 본인의 신용(credit)에 문제 생겼는지 확인하는 데 시간이 소요됐다며 컨트리와이드사를 소송했다. 그러나 이 또한 ‘사실상의 피해 여부 테스트’를 통과하지 못해 원고 패소 판결됐다. 당시 판결을 내린 켄터키(Kentucky) 주 연방법원은 “스팸 전화 및 신용 확인 절차가 금전적인 피해로 연결된 증거가 없다”고 밝혔다.

3. 2014년에 소송이 시작돼서 아직까지 최종판결 나지 않은 사건이다. 수천 곳의 체인을 보유하고 있는 대형 마트인 타깃(Target)이 해킹을 당해 고객 정보가 유출되는 사고가 일어났다. 1억 건이 넘는 정보가 유출됐다. 해당 고객들은 타깃을 상대로 집단소송을 제기했는데 이에 타깃은 ‘사실상의 피해 여부’를 운운하며 맞서고 있다. 타깃은 “해당 고객들에게 신용 확인 절차를 무상으로 지원했고 유출된 카드를 교체해주는 서비스도 제공했다. 앞으로 정보가 남용될 소지를 논하는 것은 ‘사실상의 피해 여부’에 의거해 맞지 않는다”고 밝힌 상황이다.

옥션 사건이나 위에 언급한 사건들은 6~12년전에 발생했다. 지금은 그때와 개인정보, 유출, 해킹, 보안에 대한 개념 자체가 달라졌다. 가장 최근 발생했던 타깃 유출 사건에서 해당 기업이 취하는 태도만 보아도 알 수 있다. 적어도 타깃은 사건의 책임을 아예 부인하지 않고 서비스 제공을 자진해서 취하는 등 그 전 사건들을 비교해도 확연히 다르기 때문이다. 법정에서 피해를 규정하고 측정하는 방법과 기준 역시 이런 시대의 변화를 반영할 수밖에 없을 텐데, 그런 의미에서 타깃 사건의 최종판결이 어떻게 날지 궁금해진다.

[국제부 주소형 기자(sochu@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)