Home > 전체기사
역대급 개인정보 유출사건의 판결, 어떻게 변해왔나
  |  입력 : 2018-04-26 11:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
그동안 동일시되던 법과 주의의무 수준...최근 판결에서 주의의무 수준이 더 높아져
방통위 등 정부부처의 정보보호 기준 강화...행정 및 민사 모두 피해자에 유리해져


[보안뉴스 원병철 기자] 우리나라에서 제법 많은 해킹사건이 발생했지만, 거의 대부분의 사건이 노린 것은 금전이 아닌 개인정보였다. 최근 발생한 암호화폐 거래소에서 발생한 암호화폐 탈취사건 외에는 대부분 사용자의 개인정보를 노린 범죄였던 것. 실제로 해킹으로 금융기관에서 금전이 탈취된 사건은 찾아보기 힘들며, 금전 유사물이 탈취된 사건도 거의 찾기 어렵다.

[이미지=iclickart]


하지만 해킹을 통한 개인정보 유출사건은 꽤나 많다. 이는 개인정보가 돈이 되기도 하지만, 그만큼 금전에 비해 관리가 부실하다고도 할 수 있다. 문제는 이렇게 개인정보가 유출된 사건에서 대부분 기업들의 책임은 인정되지 않았다는 사실이다.

법무법인 바른의 전승재 변호사는 NetSec-KR 2018 강연에서 2008년 옥션, 2011년 싸이월드, 2012년 KT 등 대표적인 개인정보 유출사건을 예로 들며 이와 같이 주장했다.

전승재 변호사에 따르면 옥션, 싸이월드, KT는 행정소송 없이 민사소송만 진행되어 이미 결과가 나왔으며, 2016년 인터파크와 2017년 여기어때, 2017년 빗썸은 현재 민사소송과 행정소송이 함께 진행 중이다. 1,800만 건의 개인정보가 유출됐던 옥션 사건, 3,500만 건이 유출된 싸이월드 사건, 870만 건이 유출된 KT 1차 사건과 1,170만 건이 유출된 KT 2차 사건 등 4건은 모두 기업들이 승리했다. 특히, KT 2차 사건은 민사와 함께 행정소송도 진행됐지만, 역시나 KT가 승리했다.

▲해킹으로 개인정보가 유출된 사건[자료=전승재 변호사]


개인정보보호법 등 개인정보를 보호하기 위한 법률이 있음에도 불구하고 몇 건의 유출사고에서 모두 기업들이 승소한 이유는 무엇일까?

우선 법원은 개인정보가 유출되면 정신적인 손해 등을 일부 인정한다. 하지만 유출된 개인정보로 인한 추가적인 손해를 명확하게 입증하지 못하거나, 기업이 법에서 규정한 수준의 보안대책을 마련하고 시행했다면 과실이 없다고 봤다.

▲허들 모델(Hurdle Model)로 본 개인정보 보호조치 의무 수준[자료=전승재 변호사]


전승재 변호사는 ‘허들 모델(Hurdle Model)’을 예로 들어 이를 설명했다. 첫 번째 허들은 ‘법 위반 책임’으로, 법에서 정해놓은 기준(정보보호 수준)을 말한다. 이 첫 번째 허들을 넘지 못했을 경우 법적 처벌을 받는다.

두 번째 허들은 ‘과실책임(부주의)’로 적절한 주의의 정도를 민사법원이 사후에 판단하는 기준이다. 두 번째 허들은 해당 기업이 얼마나 정보보호를 잘했는지 법원이 판단하며, 그 경중에 따라 과실 유무가 결정된다.

여기서 중요한 것은 첫 번째 허들과 두 번째 허들은 그 높이(기준)가 다르다는 것이다. 이 두 개의 기준을 같다고 보면, 사고는 났지만 기업이 법을 어기진 않았기 때문에 배상할 필요가 없다는 결론이 나올 수 있는데, 유독 정보보호 영역의 소송에서는 이러한 결론이 많이 발생하고 있다는 것이 전승재 변호사의 주장이다.

“예를 들면, 2015년 대법원이 내린 옥션 사건의 경우 옥션의 손을 들어줘 피해자들은 피해보상을 한 푼도 받지 못했습니다. 옥션이 톰캣 웹서버에서 관리자 아이디와 패스워드를 변경하지 않고 그대로 사용했음에도 불구하고, 당시 법 규정에 관리자 아이디와 패스워드를 바꾸라는 내용이 없었다는 이유만으로 옥션의 손을 들어줬기 때문입니다. 이처럼 기술적·관리적 보호 의무를 다했다면 특별한 잘못이 없는 한 법률상 또는 계약상 의무를 위반했다고 보기 어렵다는 판결 때문에 지금까지 개인정보보호 관련 사건은 다 기업이 이겨왔습니다.”

하지만 옥션사건의 판결 이후 조금씩 변화의 바람이 불고 있다. 우선 행정안전부와 방송통신위원회가 관련법 고시를 ‘조치는 최소한의 기준’이라고 수정했다. 단순한 조치만으로는 책임을 다했다고 볼 수 없도록 한 것. 첫 번째 허들은 넘을 수 있어도 두 번째 허들은 못 넘을 수도 있다는 판단을 내리기 시작한 것이다. 게다가 첫 번째 허들의 높이(기준) 역시 옥션사건 판결 이후 높아졌다는 게 전승재 변호사의 설명이다.

“첫 번째 허들인 공법적 책임의 기준이 크게 강화됐습니다. 게다가 행정관청의 적극적인 법 집행으로 사업자의 법적 리스크도 증대했습니다. 예를 들면, 종전에는 민사사건에서 개인정보처리자의 의무위반 사실을 피해자가 입증해야 했다면, 현재는 방통위 등 처분성이 입증한 법 위반 사실을 피해자가 민사소송에서 그대로 인용하고 있습니다. 또한, 개인정보 보호조치의무 위반 사실이 행정제재를 통해 확인될 경우, 다른 유출정보(비트코인 등)에 대한 주의의무 위반(과실)도 인정될 가능성이 높습니다.”

전승재 변호사는 2018년 싸이월드 해킹사건에서 대법원이 공법상 형사상 제재의 기준은 근거규정에서 정한 행위의무 위반이지만, 민사상 손해배상의 기준은 업계 평균적으로 요구되는 주의 의무라면서, 실질적으로 1번 허들과 2번 허들의 높이가 다르다는 판결을 내렸다고 강조했다.

이 때문에 개인정보 유출사건의 판도가 앞으로 바뀔 것이라는 전승재 변호사는 기업들도 1번 허들과 2번 허들의 기준을 모두 높임으로써 변화하는 정부의 적극적인 법집행에 따른 리스크에 대비해야 할 것이라고 말했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

코맥스
홈시큐리티 / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

동양유니텍
IR PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

보쉬시큐리티시스템즈
CCTV / 영상보안

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

두현
DVR / CCTV / IP

테크어헤드
얼굴인식 소프트웨어

옵티언스
IR 투광기

엔토스정보통신
DVR / NVR / CCTV

구네보코리아
보안게이트

비전정보통신
IP카메라 / VMS / 폴

디케이솔루션
메트릭스 / 망전송시스템

씨오피코리아
CCTV 영상 전송장비

KPN
안티버그 카메라

세종텔레콤
스마트케어 서비스

진명아이앤씨
CCTV / 카메라

티에스아이솔루션
출입 통제 솔루션

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

신우테크
팬틸드 / 하우징

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

창우
폴대

케이티앤씨
CCTV / 모듈 / 도어락

유시스
CCTV 장애관리 POE

지에스티엔지니어링
게이트 / 스피드게이트

인터코엑스
영상 관련 커넥터

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

대원전광
렌즈

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향