[김승주 고려대 정보보호대학원 교수] 2008년 1월 옥션의 해킹으로 1080만 명의 개인 정보가 유출됐다. 2013년 8월부터 2014년 2월 사이에는 KT 고객센터 홈페이지 해킹으로 981만 명의 개인 정보 1170만 건이 빠져나갔다.
2014년 1월에는 KB국민카드·롯데카드·NH농협카드 등 3개 신용카드사에서 무려 1억400만 명(KB카드 5300만 명, 롯데카드 2600만 명, NH카드 2500만 명)의 개인 정보 유출 사건이 발생했다.
또한 지난 5월에는 인터넷 쇼핑몰 인터파크에서 1030만 명의 고객 정보가 유출된 것으로 드러났다. 이렇듯 점점 커지고 있는 개인 정보 유출 피해에 대해 피해 보상은 어떻게 이뤄지고 있을까.
◆ 옥션·KT, 법원서 무죄 판결
외국의 보안 관련 법규와 국내의 법규는 그 접근 방법에 근본적인 차이가 있다. 한국에서 채택하고 있는 접근 방법은 특정 보안 위협에 대한 대책을 정부가 직접 규제하고 있는 방식이다. 관련 법·시행령 또는 지침에 업체가 취해야 할 조치들을 일일이 명시하는 것이다.
예를 들면, ‘이용자 PC에서의 정보 유출을 방지하기 위해 이용자의 접속 시 우선적으로 이용자 PC에 개인용 침입 차단 시스템, 키보드 해킹 방지 프로그램 등의 보안 프로그램을 설치할 것’ 또는 ‘주민등록번호 및 계좌 정보 등 금융 정보를 암호화해 저장할 것’ 등과 같이 기술해 놓는 식이다.
이는 인터넷 뱅킹과 같은 인터넷 서비스의 빠른 확산에 기여한 측면이 큰 반면 업체의 능동적인 보안 대책 마련 부족, 보안 업체 간의 경쟁 저하 등의 단점이 있는 것도 사실이다.
더욱이 해킹 사고가 발생하면 해당 업체에 “우리는 법에서 하라는 것은 다했다. 이건 불가항력이었다”는 식의 면죄부를 주는 수단으로 악용되기도 한다.
한국과 달리 미국·영국·일본 등 주요 선진국에서는 업체가 자신이 처한 보안 위협을 직접 분석하고 적절한 보안 대책을 스스로 세우도록 하는 자율 규제 방식을 채택하고 있다.
사고 발생 시에는 해당 업체의 보안 대책이 정말로 충분했는지를 놓고 법정에서 시비를 가리게 되는데, 이때 판단의 기준이 되는 것은 업체가 고객을 위해 ‘상업적으로 합리적인(commercially reasonable)’ 조치를 취했는지 여부다.
◆ 기업에 ‘합리적 노력 의무’ 부과
일반적으로 미국 법률에서는 ‘노력의 의무’를 규정할 때 ▷최선의 노력(best efforts) ▷합리적인 최선의 노력(reasonable best effort) ▷합리적인 노력(reasonable effort) ▷상업적으로 합리적인 노력(commercially reasonable effort) ▷선의의 노력(good faith efforts) 등의 표현을 쓴다.
문어적 의미로만 본다면, ‘최선’은 그야말로 가장 최고 수준을 의미하는 것이고 ‘합리적’은 꼭 최선까지는 아니더라도 어느 정도 상당한 수준의 노력이라고 생각할 수 있다.
하지만 미국의 판례들을 보면 이러한 차이를 전혀 구분하지 않는 것에서부터 ‘최선’을 ‘합리적’보다 높은 수준이라고 인정하는 것까지 매우 다양하다.
보이스 피싱이나 파밍(parming)·해킹 등으로 인한 금융 사기 사건의 경우 미국 법원은 대체로 기업의 책임을 보다 더 엄하게 묻는 편이다.
이는 한국과 달리 배심원들이 재판에 참여하기 때문이기도 하지만 근본적으로 기술이나 정보적인 면에서 우위에 있는 은행이나 기업이 보다 더 적극적으로 힘없는 소비자들을 보호해 줘야 한다는 취지에서다.
한국처럼 소비자가 보안 프로그램을 설치했는지 또는 보이스 피싱 또는 파밍 사기에 넘어가 보안카드 번호를 입력하지 않았는지 등은 따지지 않는다. ‘고의성’이 없는 한 기업보다 개인의 편을 들어주는 경우가 많고 피해 사실에 대한 과실 증명을 개인에게 요구하는 경우 또한 없다.
더욱 놀라운 것은 2013년에 미국 법원은 일반 개인 고객이 아닌 기업 고객이 해킹 피해를 봤을 때도 은행이 보상해야 한다는 판결을 내렸다는 점이다. 펫코(Patco) 소송 사건이 대표적이다.
2009년 5월 정체불명의 해커가 ‘펫코’라는 건설 업체의 전산망에 침입해 직원들의 ID와 패스워드를 훔쳐낸 후 이를 이용해 오션은행에 개설된 펫코의 계정으로부터 58만8000달러를 인출해 갔다.
1심에서 법원은 은행에 책임을 물을 수 없다는 판결을 내렸다. 하지만 이어진 항소심에서 법원은 UCC(Uniform Commercial Code) 4A 조항에 의거, 오션은행이 ‘상업적으로 합리적인 노력’을 다하지 않았다며 1심 판결을 뒤집는다.
펫코 소송 사건이 주목받는 것은 법원이 은행의 상업적으로 ‘합리적인 노력’의 수준을 고객의 편에서 꽤 높게 인정했기 때문이다. ◆ 획일적 보안 정책은 이제 ‘그만’
이뿐만이 아니다. 2014년 말 미국 영화사 소니픽처스엔터테인먼트가 해킹을 당했다. 해커들은 개봉도 하지 않은 영화들을 인터넷에 유출하고 고위 임원들 사이에서 주고받은 할리우드 스타들의 뒷담화가 담긴 e메일 내용을 공개하기도 했다.
이후 미국의 FBI는 소니픽처스 해킹의 주범으로 북한 당국을 지목했고 미 행정부는 곧바로 북한에 대한 제재 조치를 시행했다.
재미난 것은 배후가 북한이었음에도 불구하고 소니픽처스의 전 직원들은 회사가 컴퓨터 해킹을 막지 못해 자신들의 민감한 개인 정보가 유출됐다며 집단소송을 제기했고 이에 대해 LA연방지방법원은 소니픽처스에 800만 달러를 배상하라는 판결을 내렸다.
2016년 현재 스마트폰 보급률은 84%에 달하고 TGIF(Twitter·Goo
gle· iPhone·Facebook)를 통한 1인 방송국, 1인 미디어, 1인 창조 기업들은 하루가 멀다고 계속 등장하고 있다.
각 회사나 조직들이 제공하는 제품이나 서비스, 만나는 사용자의 유형이 다양해져 가고 있다. 이들이 수집하고 유지하는 정보의 유형 및 관련 정보 시스템 기술의 종류도 천차만별이기에 각각은 매우 다른 보안 문제들에 직면하고 있다.
보안 정책은 이러한 수많은 차이점들을 고려해야만 하지만 십수 년 전에 만들어진 국내의 직접규제에 기반 한 현행 법규들은 이러한 인터넷 문화의 급격한 변화를 제대로 따라가지 못하고 있는 실정이다. 현재와 같은 정부 주도의 획일적인(one size fits all) 보안 정책은 더 이상 현명한 선택이 아니다.
이제는 우리 정부도 모든 것을 정부가 나서 직접 규제하려고만 하지 말고 각 업체가 자신이 소유한 유·무형 자산의 가치에 따라 창의적으로 최대한의 보안 대책을 수립하도록 유도하는 자율 규제 정책을 적극적으로 펴야 할 때다.
단순히 고객의 ‘동의’를 구했다는 이유만으로 책임을 고객에게 떠넘기려는 태도도 지양해야 한다. 이제는 한국 법정에서 매번 등장하는 ‘불가항력’이라는 단어를 그만 들었으면 좋겠다.
© 매거진한경, 무단전재 및 재배포 금지