조영남 기자 jopen@hankyung.com
조영남 기자 jopen@hankyung.com
오늘날 우리의 삶은 ‘개인정보’로 정의된다. 아무리 내가 나라고 주장해도 이를 증명할 수 있는 신분증이나 생체정보 없이는 나의 존재를 믿게 할 수 없다. 개인정보를 도난당하면 나의 존재 자체가 사라질 수 있다. 이를 ‘동일성 절도(identity theft)’라고 한다. 내 지갑을 훔쳐 가면 지갑 속의 돈만 없어지고 보이스 피싱을 당하면 통장 속의 돈이 없어지지만 나를 도난당하면 내 자신이 없어진다. 그렇다고 디지털 세상에서 발생할 수 있는 일들이 무서워서 은둔생활을 할 수만은 없다.

개인정보가 곧 자신인 세상

최승재 세종대 법학부 교수
최승재 세종대 법학부 교수
개인정보는 기술적 보호조치를 통해 보호할 수 있다. 기업들은 내부에서 고객정보를 빼돌리는 행위에 대한 조치와 외부에서 해킹하는 등의 방법으로 고객정보를 훔치려는 자들로부터 방어하기 위한 기술적 수단을 강구함으로써 고객이 자신의 개인정보를 믿고 맡길 수 있도록 한다. 그런데 정부가 이런 기술적 보호수단의 내용을 정하면 문제가 생긴다. 이 경우 기술적 보호조치는 한편으로는 개인정보를 보호하는 기능을 하지만, 다른 한편으로는 이들 기술적 보호조치만 하면 개인정보 관리 책임자는 면책받을 수 있도록 하는 기능을 한다.

예를 들어 방화벽에 대한 규제가 있다고 하자. 방화벽은 철근 콘크리트 구조물이어야 하고 두께는 5㎝ 이상이어야 한다는 식으로 규제를 한다. 그런데 기술이 발전해서 플라스틱을 1㎜만 써도 더 나은 방화벽을 만들 수 있으면 어떻게 될까. 그래도 이런 최신 기술은 기존의 규제 문제로 인해 채택할 수 없다. 이런 규제는 결국 기술 발전을 저해하기도 한다.

1800만 회원정보 해킹당한 오픈마켓

[대한민국을 흔든 판결들] 1800여만명 개인정보 털렸는데…"손해배상 책임 없다"
이 쟁점에 대한 대법원의 리딩케이스(선례가 되는 판결)는 ‘이베이-옥션 판결’이다. 이 사건의 피고 이베이는 국내 최대 인터넷 쇼핑몰 옥션을 인수했다. 소송 중에 이베이-옥션이 이베이코리아로 상호가 바뀌었다.

옥션은 ‘www.auction.co.kr’이란 인터넷 오픈마켓 사이트를 개설하고, 사이트 회원으로 가입한 판매자와 구매자 사이의 상품 중개 및 전자상거래 등을 주로 하는 회사다. 오픈마켓 운영자는 판매자와 구매자 사이의 거래를 중개하고 판매자에게서 소정의 수수료를 받는다. 공동 피고인 인포섹 주식회사는 정보침해사고 대응 및 정보보호 컨설팅 서비스 등을 주로 하는 회사다. 2007년 2월1일 LG데이콤(현 LG유플러스)과 맺은 ‘인터넷 데이터센터 정보보호 서비스를 위한 계약’에 따라 2008년 1월께 LG데이콤이 운영하는 인터넷 데이터센터 고객인 피고에 정보보호 서비스를 제공했다.

해커들은 피고의 메인DB2(MAINDB2) 서버에 저장된 피고 회원의 이름, 주민등록번호, 주소, 전화번호, 아이디, 계좌번호 등 개인정보를 자신의 컴퓨터에 내려받아 이를 유출했다. 이 사건 해킹 사고를 통해 원고를 포함한 피고의 전체 회원 1800여만명의 개인정보가 유출됐다. 피고인 옥션은 2008년 2월4일 이 사건 해킹 사고를 경찰 및 관계 기관에 신고하고, 5일 피고의 회원에게 이 사건 해킹 사고로 인한 개인정보 유출 사실을 공지했다.

원고는 이 사건 사이트에 온라인 회원으로 가입하면서 이용약관 제8조에 따라 개인정보를 제공한 사람들로 개인정보 유출로 피해를 봤다며 손해배상을 구하는 소송을 제기했다.

정부가 정한 보호조치만 하면 면책

피고 회사와 같은 정보통신서비스 제공자는 ‘구(舊)정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제28조 및 이 법 시행규칙 제3조의3 제1항 각 호에서 정하고 있는 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취해야 할 법률상 의무를 지고 있다. 또한 수집한 이용자의 개인정보 등이 분실·도난·누출·변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취해야 할 의무도 부담해야 한다. 이와 관련해 피고들은 정부가 요구하는 개인정보보호조치를 다했기 때문에 책임이 없다고 주장했다.

대법원은 피고의 주장을 받아들여 원고의 청구를 전부 기각했다. 대법원은 △정보통신서비스는 ‘개방성’을 특징으로 하는 인터넷을 통해 이뤄지고 △정보통신서비스 제공자가 구축한 네트워크나 시스템 및 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 해커 등의 불법적인 침입행위에 노출될 수밖에 없다고 봤다.

또 △완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 않고 △해커 등은 여러 공격 기법을 통해 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스 제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고 △보안기술은 해커의 새로운 공격 방법에 대해 사후적으로 대응, 보완하는 방식으로 이뤄지는 것이 일반적인 점 등의 특수한 사정이 있다는 점을 중요하게 봤다.

이런 점에서 대법원은 정보통신서비스 제공자가 구정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했는지 여부를 판단할 때는 △해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준 △정보통신서비스 제공자의 업종·영업 규모와 전체적인 보안조치의 내용 △정보보안에 필요한 경제적 비용 및 효용의 정도 △해킹기술 수준과 정보보안기술 발전 정도에 따른 피해 발생의 회피 가능성 △정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인해 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려해 ‘정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다했는지’ 여부를 기준으로 판단해야 한다고 봤다.

이에 따라 대법원은 피고가 정부가 정한 ‘개인정보의 기술적·관리적 보호조치’를 다했다고 보고, 피고가 고객 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 보기는 어렵다고 봐 피고 회사를 면책시켰다.

개인정보보호수준은 기업 자율로

한국의 개인정보 규제는 정부 주도로 이뤄지고 있다. 반면 미국은 사기업의 경우 자율 규제(self-regulation)한다. 정부가 기준을 정하지 않기 때문에 기업들은 최신 기술을 각자의 형편에 따라 도입하려고 하고 최선의 상태로 유지하려고 노력한다. 또 새로운 기술이 등장하면 이를 도입할 필요성을 검토하고, 관련 산업에서도 새로운 기술을 개발하려고 노력한다.

현행법 해석에 기반한 대법원의 판결은 이해할 수 있다. 그러나 정부 규제로 기업으로서는 정부의 기준을 지키는 이상의 비용을 들일 필요가 없으니 오히려 관련 산업이 발전하기 어려워지고, 기업으로서도 경쟁국에 비해 기술적 보호조치의 수준이 낮아지는 문제가 발생할 수 있다. 시장이 기능하지 않을 때는 정부가 최소한의 기준을 상세하게 제시할 필요가 있지만 민간시장이 고도로 성장하면 정부는 이런 기준을 제시하지 않고 시장에 맡겨야 한다. 그때는 옳았더라도 지금은 틀릴 수 있다.

최승재 < 세종대 법학부 교수 >
[대한민국을 흔든 판결들] 1800여만명 개인정보 털렸는데…"손해배상 책임 없다"
매주 토요일 지식산책 시리즈로 ‘대한민국을 흔든 판결들’을 연재합니다. 주요 판결에 나타난 쟁점과 논리를 되짚어보고 우리 사회의 현재 모습과 발전 방향을 모색합니다. 최준선 성균관대 법학전문대학원 명예교수, 손동권 건국대 법학전문대학원 교수, 김선정 동국대 법과대학 교수, 최영홍 고려대 법학전문대학원 교수, 심영 연세대 법학전문대학원 교수, 이상희 한국산업기술대 지식융합학부 교수, 최승재 세종대 법학부 교수 등이 참여합니다.