한호현 한국해킹보안협회 전무
▲ 한호현 한국해킹보안협회 전무
요즘 일련의 법원 판결에 대한 사회적 논란이 한창이다. 정치권에서부터 일반인에 이르기까지 논란의 한 축을 담당하고 있다. 그 만큼 현실에 대한 판단의 기준을 자신의 잣대로 하고자 하는 욕망이 강해진 것으로 볼 수 있다.
정보통신업계에서도 예외는 아닌 듯하다, 얼마 전 인터넷 오픈 마켓인 옥션과 관련한 법원의 판결이 나왔다. 2008년 옥션에서 발생한 개인정보유출에 대하여 회사의 배상책임이 없다는 판결이 그것이다. 판결의 핵심은 옥션이 관련법에 정해진 기준을 어겼다고 볼 여지가 없다는 것이다. 재판부가 이러한 판결을 내리게 된 것은 옥션이 법에서 정한 해킹방지 의무를 위반하지 않았다는 점 때문이다. 재판부는'정보통신망 서비스 제공자에게 해킹으로 개인정보가 도난당한 것에 대한 책임을 지게 하려면 제공자가 해킹방지 의무를 위반해 이를 예방하지 못한 경우에 한해야 한다'며'옥션이 관련법에 정해진 기준을 어겼다고 볼 근거가 없다'는 점과'옥션이 방화벽을 설치하지 않았다고 주장하지만, 이는 법이 정한 의무가 아니며 당시 다수 업체가 방화벽을 신뢰하지 않아 이용하지 않았던 점을 고려하면 잘못이 있었다고 보기 어렵다'는 점이 민법상 불법행위에 해당하는 과실이 있다고 보기 어렵다고 판단하였다.
이를 두고 한편에서는 피해자는 있는데 책임질 대상이 없다는 점에서 판결에 문제가 있음을 제기하고 있다. 자칫 적정한 투자 등의 조치만 있으면 개인정보 등이 유출되더라도 책임을 지지 않게 될 수 있어 우리나라 기업들이 정보보호에 소홀하게 될 계기를 마련했다는 주장도 나오고 있다. 특히 1천여만 명의 정보가 유출되었다는 점을 감한하면 보다 높은 수준의 정보보안 조치와 해킹에 대한 대비가 있었어야 했다는 점을 들어 판결에 아쉬움을 표하고 있다.
한편에서는 옥션이 다른 기업들과 달리 침해 사실을 경찰에 자진 신고하고 개인들에게 알리는 등 추가 피해 방지에 노력하였다는 점 등을 들어 재판부의 판결에 손을 들어 주고 있다. 아울러 그 동안의 다른 사건의 경우 개인정보 유출이 내부 임직원들이 개입되어 있었던 반면에 옥션의 경우는 외부의 해킹에 의한 불가피성을 감안하여야 한다는 것이다. 또한 아무리 많은 투자를 하더라도 새로운 기술에 의한 해킹을 막아내기 어렵다는 점도 고려되어져야 한다는 것이다.
여기서 판결에서 언급된 관련법에 정해진 기준을 살펴보자.
관련법은 정보통신망 이용촉진 및 정보보호 등에 관한 법률이다. 이법 제3조는'정보통신서비스 제공자는 이용자의 개인정보를 보호하고 건전하고 안전한 정보통신서비스를 제공하여 이용자의 권익보호와 정보이용능력의 향상에 이바지하여야 한다'라고 규정하고 있다. 이용자의 개인정보 보호에 대한 책임을 정보통신서비스 제공자에게 부여하고 있다. 또한 당시 이법 제28조(현재 적용되는 법 조항과 사건 발생 당시 적용 가능한 법 조항의 내용이 달라 당시 법 조항을 언급한다. 현재 적용되는 제28조는 그 동안 여러 차례의 개정을 거쳐 상당히 구체적으로 정보통신서비스 제공자가 취해야 하는 조치를 규정하고 있다)는'정보통신서비스제공자 등은 이용자의 개인정보를 취급함에 있어서 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록 정보통신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 조치를 하여야 한다'라고 규정하고 있다. 결국 옥션이 지켜야할 조치는 정보통신부령에 있었다는 의미이다. 당시의 정보통신부령(정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행 규칙)에서는 개인정보의 안전성 확보에 필요한 기술적·관리적 조치로 6가지 사항을 규정하고 있다. 이 6가지 규정이 현재의 법률 제28조에 그대로 담겨져 있다. 6가지 조치는 (1) 개인정보의 안전한 취급을 위한 내부관리 계획의 수립 및 시행 (2) 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근통제장치의 설치·운영 (3) 접속기록의 위조·변조 방지를 위한 조치 (4) 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치 (5) 백신소프트웨어의 설치·운영 등 컴퓨터바이러스 방지 조치 (6) 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호 조치 등으로 상당히 구체적 분야를 지정하여 포괄적인 내용으로 규정하고 있다.
위의 법조항을 근거로 판결문에 나타난 방화벽이 법에서 정한 기준에 해당하느냐에 대한 관점과 그 당시의 방화벽의 신뢰성에 대한 문제를 살펴보자. 먼저 방화벽은 일반적으로 침입차단시스템의 범주에 들어간다. 따라서 법 규정에 의하면 방화벽을 설치하여야 할 것으로 보인다. 또한 판결문에 나타난 방화벽을 신뢰할 수 없었다는 점도 당시 정부가 인증하는 침입차단시스템 제품이 있었다는 점에서 논란의 거리가 될 수 있다. 정부에서 그 신뢰성을 인증한 정보보호 제품을 민간이 신뢰할 수 없다는 것은 쉽게 납득하기 어려운 점이다. 이러한 점만을 감안하면 옥션의 판결에 논란이 발생할 여지가 있을 것으로 보인다.
다만 다른 관점에서 살펴보면 사건 당시에 구체적인 정부의 기준이 정하여져 있지 않았었다는 점이 이러한 주장에 한계성을 줄 것으로 보인다. 구체성이 없는 기준을 어떻게 볼 것이냐에 대한 관점이다. 법에서 취하여야 하도록 정해 놓은 조치는 전문가들이 일반적으로 판단할 수 있는 선이 그 기준이 되어야 할 것으로 보인다. 전문성이 높고 고도의 기술적인 사항을 일일이 법에서 정할 수 없기 때문이다. 아직 옥션의 사건은 진행형이다. 앞으로 이 부분이 관련법에서 정해진 기준을 어겼느냐에 대한 논쟁의 핵심이 될 것으로 보인다.
지난 호에서 올해에 정보보호 법체계를 확립하자는 주장을 편 바 있다. 정보보호와 관련된 사건이 발생하면 이를 일일이 법의 기준에 따라 판단하기가 어렵다. 옥션의 사건이 대표적인 것이 될 것으로 보인다. 아울러 연초에 있었던 V3 제품에 의한 정부의 행정서비스가 중단된 사건의 경우도 법 적용이라는 관점에서 논란이 되고 있다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 ②항에 따르면'누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손, 멸실, 변경, 위조하거나 그 운용을 방해할 수 있는 프로그램을 전달 또는 유포하여서는 아니 된다'라고 규정하고 있다. 여기서 살펴보아야 할 것은 문제가 된 제품이 배포될 당시 정당한 사유가 있었느냐는 점이다. 배포할 당시에 V3 회사나 정부의 담당자 누구도 해당 프로그램이 문제가 있었다는 점을 몰랐다는 것으로 이 사건은 일단 법적으로는 종결된 것으로 보인다. 일각에서는 정부의 담당자는 몰랐을 것이 당연하지만 V3 제품의 경우는 충분한 조사가 이뤄진 다음에 결론을 내어야 한다고 주장하고 있다. 향후 더 큰 사고를 예방하고자 하는 차원에서 나오는 이야기들이다. V3 제품은 지난 2008년에 발생한 유사한 사건의 당사자이다. 윈도우의 특정 프로그램을 오진하여 삭제함으로써 일부 개인용 컴퓨터의 부팅이 되지 않게 한 적이 있다.
이러한 경우에서처럼 특정 사건에 대하여 법을 적용하는데 많은 논란의 거리가 발생한다. 특정한 기준에만 따라 해석을 하기가 어려운 것이 해킹보안과 관련한 법의 속성이다. 동전의 양면 모두에 날카로운 칼날이 존재하는 것이 해킹과 보안에 관련된 것이다. 창과 방패가 물리적인 것이라면 해킹과 보안은 그 상황에 따라 자유롭게 변하는 해면체와 같은 것이라고 할 수 있다. 그 만큼 특정한 기준에 따라 판단하고 예단할 수 없다는 것이다.
그럼에도 불구하고 사회적 논란을 줄이기 위해서는 많은 노력을 기울여 예측 가능한 법체계를 만들어 가는데 힘을 모아야 할 것으로 보인다.