[케이스스터디]해킹을 방지 못한 개인정보처리자의 법적 책임 판단기준<2>

옥션 판결은 싸이월드 사건에도 영향을 줬다. 3500만건의 회원정보를 해킹 당한 싸이월드에 대해, 피해자 인당 20만원씩을 배상해야 한다는 내용의 1심 판결이 2013년 서울서부지방법원에서 선고됐다. 그런데 2015년 3월 선고된 서울고등법원의 2심 판결은 1심을 깨고 싸이월드의 배상책임이 없다고 판단했다. 이는 한 달 전 2015년 2월에 선고된 옥션 대법원 판결의 영향을 받아 '법만 지켰다면 상대방 손해도 배상할 책임이 없다'는 결론을 답습했기 때문이다.

2018년 1월 선고된 싸이월드 대법원 판결은 '정보통신서비스 제공자가 법규정에서 정하고 있는 기술적·관리적 보호조치를 다하였다고 하더라도, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는 위법행위로 평가될 수 있다'라는 법리를 판결문에 추가했다. 이는 '부주의의 기준'을 '법규정상 의무'에만 한정하지 않음으로써 종전 옥션 판결의 논리적 난점을 극복한 것이다.

싸이월드 사건에서는 서버 관리자 접속계정에 'idle timeout'을 설정했더라면 해킹을 방어할 수 있었는지가 쟁점이었다. 서버 관리 직원이 로그아웃을 하지 않고 장시간 자리를 비운 틈을 타 해커가 그 접속세션을 탈취했던 것이 해킹의 한 원인이었다. 이에 대해 1심 서울서부지방법원은 싸이월드가 부주의했다고 보았다. 이와 달리 2심 서울고등법원은 'idle timeout'을 설정할 의무가 당시 법에 없었다는 이유로 싸이월드의 주의의무 위반이 없다고 봤다. 참고로 'idle timeout'에 관한 법규정은 싸이월드 해킹 사고가 터진 후 그 재발방지대책의 일환으로 신설됐다.

대법원은 당시 싸이월드가 'idle timeout' 설정의무를 이행했다 하더라도 여전히 해킹을 막기 어려웠으리라고 보고, 그 조치 불이행과 해킹 사이 '상당인과관계'가 없다고 판단했다. 그러면서 “2심 판결 중 법규정에 없다는 이유만으로 개인정보처리자가 보호조치의무를 부담하지 않는 것처럼 판시한 부분은 부적절하다”고 지적했다.

[케이스스터디]해킹을 방지 못한 개인정보처리자의 법적 책임 판단기준<2>

싸이월드 대법원 판결의 의의는 '법규정상 의무', 즉 '처벌의 기준'과 '민사책임의 기준'을 이원화한 점이다. 사실 이것은 새로운 법리는 아니다. 예를 들어 대법원은 그간의 일조권 침해 소송에서 신축 건물이 건축법에 따른 공법적 규제를 모두 지켰다고 하더라도 일정한 경우 민사상 손해배상책임을 부담할 수 있다고 판결했다. 우리 법체계상 '처벌의 기준'과 '민사책임의 기준'은 원래 다른 것인데, 유독 옥션 판결에서 양자가 동일한 것처럼 취급되는 혼란이 있었다. 이것이 이번 싸이월드 대법원 판결에서 바로잡힌 것뿐이다.

한편, 종전 옥션 판결의 영향으로 일선의 하급심 법원은 '처벌 받지 않는 기준'과 '민사상 주의의무를 다한 기준'을 동일시하는 혼동을 겪고 있다. 예를 들어 KT 마이올레 해킹 사건의 경우 요금명세서 조회 웹페이지 URL에 파라미터로 들어가는 이용자 고유번호 9자리 숫자를 해커가 임의의 다른 번호로 바꾸면 권한 없이 타인의 요금명세서에 포함된 개인정보를 조회할 수 있었던 취약점이 해킹의 원인이었다. 서울중앙지방법원은 그러한 방식의 해킹을 방지할 의무를 법규정에서 찾을 수 없다는 이유만을 들며 민사책임도 없다고 판단했다. 재판 과정에서 업계의 표준적인 보안수준을 살피지 않고 정부가 마련해 둔 규정만을 바라본 것이다.

만약 향후에도 정보보호조치 미흡으로 '처벌 받는 기준'과 '민사책임을 지는 기준'을 계속 동일하게 취급한다면, 해킹 사고가 터질 때마다 그 재발방지 대책으로 '처벌 기준'이 상향될 것이고 이는 사업자들에게 과도한 부담으로 돌아온다.

2016년 인터파크 해킹 사건의 경우 통상 방어하기 어려운 지능형 해킹(Advanced Persistent Threat)을 당했다는 점에서 적어도 옥션만큼이나 초보적인 부주의를 했다고 보기는 어려웠다. 그럼에도 인터파크는 규제 강화로 정책 기조를 잡아버린 방통위로부터 44억 8000만원의 과징금을 부과 받았다.

행정소송에서 결론을 뒤집지 못할 경우 정보유출 피해자가 제기한 민사소송에서도 책임을 면하기 어렵다. 즉, 공법적 규제가 강화되기 전에 매우 초보적인 주의의무를 위반한 옥션은 민사책임까지 면책된 반면, 공법적 규제가 강화된 후에 해킹을 당한 인터파크는 과징금에 더해 거액의 손해배상책임까지 부담해야 할 상황에 처했다. 정보보호 규제가 냉탕과 열탕을 오가고 있는 것이다.

이번에 선고된 싸이월드 대법원 판결은 그러한 혼란을 종식시킬 계기가 될 수 있다. 이번 기회에 정보보호 정책의 기조를 바꾸어, '처벌의 기준'은 그야말로 꼭 지켜야 하는 기본적인 수준에 미달한 경우로 한정하여 운영하되, '민사상 손해를 배상해야 할 정도로 부주의했는지 여부'는 국가가 그 기준선을 미리 설정해 줄 것이 아니라 시장에 그 결정권을 맡기는 것이 바람직하다.

해킹을 방지하지 못한 개인정보처리자의 과실 유무가 시장에서 판단되는 절차는 결국 민사소송이다. 민사소송에서는 국가가 사전에 정해둔 정보보호 수준을 개인정보처리자가 지켰는지 여부만을 판단하는데 그쳐서는 안 된다. 구체적 사안별로 정보보호 전문가의 의견을 들으며, 당해 해킹의 원인된 취약점이 과연 업계에 보편화된 기준을 지켰더라면 예방될 수 있었는지를 치밀하게 따져야 한다. 그러한 '사후규제'는 사법부의 역할이다.

사법부의 사후규제가 제대로 작동하지 못하면 그 반작용으로 인해 행정부의 사전규제가 강화될 수밖에 없다. 시장의 규범을 국가가 미리 망라해 두는 사전규제는 자칫 경직되기 쉬워서 정보보호와 같이 급변하는 분야에서는 적절한 제도가 아니다. 이제는 사법부도 기술적 전문성을 보완해야 한다.

[케이스스터디]해킹을 방지 못한 개인정보처리자의 법적 책임 판단기준<2>

전승재 법무법인 바른 변호사 seungjae.jeon@barunlaw.com

위방향 화살표