개인정보 유출사고 재판과정, 어떻게 진행되나요?

기업의 개인정보 유출사고 시 재판과정 체험할 수 있는 ‘정보보호 모의법정’ 열려

[보안뉴스 민세아] 기업의 존망이 결정될 수 있는 정보유출 사고의 재판과정을 체험할 수 있는 기회의 장이 열렸다. 원래는 몇 달에 걸쳐 진행되는 것이지만 그 과정을 한 번에 보여주기 위해 증인신문부터 판결까지 짜임새 있게 구성됐다.

지난 18일 성균관대학교 법학전문대학원 내 모의법정에서 ‘정보보호 모의법정’이 개최됐다. 개인정보보호에 대한 법·제도적 책임이 강화되고 있는 데 비해 보안담당자들이 실제 법정에서 오고가는 공방을 경험할 기회가 거의 없기 때문에 이날 행사는 매우 의미가 있었다는 평가다.

이날 모의법정은 개인정보 유출시 위탁사와 수탁사 사이의 책임 문제, 개인정보 제3자 제공에서의 책임범위 등 실제 발생 가능한 가상의 유출사고를 만들어 다뤘다. 프로그램은 민사재판 진행절차, 증인신문, 증인신문 요약 및 시사점, 변론, 판결문 낭독 및 판결근거 해석의 순으로 진행됐다. 모의법정에서 다뤄진 사건은 다음과 같다.

[사건개요]
2016년 1월 초, 홈쇼핑업체 홈프라이스다운의 보안감사팀은 판매자 도구 시스템에 대한 접속로그검토를 진행하던 중 자사 사이트에서 건강식품 판매를 진행하고 있는 업체인 헬씨어사에서 심야시간대에 판매자 도구 시스템에 로그인 시도 실패건수가 2015년 12월에 급증한 것을 발견했다. 헬씨어사에 문의한 결과 자체 출입통제 시스템을 확인했으나 해당 기간에는 새벽시간에 사무실에 근무하는 인원이 없었다고 전달받았다.

홈프라이스다운 측은 헬씨어사를 통해 고객정보가 유출된 것으로 판단하고 경찰에 신고할 것을 지시했다. 경찰조사 결과 헬씨어사의 내부 PC에 악성코드와 백도어가 설치되어 헬씨어사에서 관리하던 고객정보가 유출된 것이 확인됐다. 아울러 수사과정에서 헬씨어사가 입점해 판매하고 있던 오픈마켓인 H시장에서 제공받은 고객정보도 함께 유출된 것이 밝혀졌다.

이에 자신의 개인정보가 유출된 것을 확인한 고객 3,500명은 포털사이트에 개설된 집단 소솔카페를 통해 변호사를 선임하고 홈프라이스다운과 제품 공급사인 헬씨어사, 오픈마켓 사이트인 H시장을 상대로 개인정보 유출에 따른 피해를 보상하라는 취지의 집단소송을 제기했다.

정보보호 모의법정은 재판장(구태언), 원고 ‘유출됨’(심현준), 원소 소송대리인 변호사 ‘고소해’(류정화), 피고 헬씨어사 대표 ‘김보약’(민경준), 피고 홈프라이스다운·헬씨어사 소송대리인 변호사 ‘지킨다’(홍여정), 피고 H시장 소송대리인 변호사 ‘최고야’(김태연), 증인1 홈프라이스다운 CISO&CPO ‘고위층’(권태영), 증인2 M사 대표 ‘나도요’(조영준), 증인3 홈프라이스다운 보안담당자 ‘정보안’(홍민성), 증인4 개인정보가디언 점검수행자 ‘정검해’(이재구) 등의 출연진과 함께 △백신 관련 △위탁사 책임 관련 △헬씨어사의 실태 관련 △홈프라이스다운의 책임 관련 △이용자가 입게 된 피해의 정도 △헬씨어사의 보안조치 관련 등의 증인·당사자 신문이 진행됐다.

주요 쟁점은 개인정보 유출사고가 발생한 헬씨어사의 위탁사인 홈프라이스다운이 수탁사에 대한 관리감독 책임을 제대로 이행했는지, 헬씨어사에 대한 개인정보 점검을 주기적으로 실시했는지, 홈프라이스다운에서 접속기록 로그를 어떻게 관리하고 있는지, 개인정보가 유출된 이용자가 어떤 피해를 입었는지, 개인정보유출이 어떻게 발생하게 됐는지, 홈프라이스다운에서 평소 어떤 보안조치를 취하고 있었는지 등이었다.

치열한 공방 끝에 홈프라이스다운은 수탁사인 헬씨어사에 대한 관리감독을 일부 이행했으나, 사건 발생을 막기에는 부족했기 때문에 관리감독 책임을 다하지 못한 책임이 있고, 헬씨어사와 공동으로 원고들에 대한 손해배상 책임이 있는 것으로 결론이 내려졌다.

또한, 피고 헬씨어사는 개인정보 조치를 부실하게 한 점, 유출 사고 발생 이후에도 스스로 감지하지 못한 채 홈프라이스다운의 통보에 의해 유출 사실을 발견한 점, 홈프라이스다운의 강요에 의해 경찰에 신고하는 등 수동적 태도로 일관한 점, 헬씨어사 대표의 PC가 악성코드에 감염돼 유출사고의 직접적인 원인을 제공한 점, 개인정보 유출 2차 피해로 이용자들에게 스팸메세지 등의 피해를 제공한 점 등을 참작해 최종적으로 홈프라이스다운과 헬씨어사가 연대해 각 원고들에게 20만원씩 손해배상할 것을 선고했다.

헬씨어사가 입점해 자사 제품을 판매하고 있던 H시장은 개인정보 제3자 제공 관계일 뿐 위·수탁 관계가 아니며, 수탁사의 과실까지 책임지는 홈프라이스다운과 그 입장이 다르기 때문에 유출 책임이 없는 것으로 결론났다.

정보보호 모의법정은 한국CPO포럼과 한국침해사고대응팀협의회가 공동 주최한 행사로, 테크앤로 법률사무소 유창하 미국변호사, 법무법인 율촌 이재욱 미국변호사, 법무법인 바른 이응세 변호사, 유미법률사무소 전응준 변호사, KT 이상용 상무, CISO Lab 강은성 대표, 카카오 황주영 과장, 법무법인 광장 박종섭 전문위원이 준비위원회로 참여했고, 기업의 보안담당자, 현직 변호사, 로스쿨 학생, 보안전문가들이 머리를 맞대 준비한 이벤트다.
[민세아 기자(boan5@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)