검색
화우

2020년도 사이버 보안에 대한 전망 및 Covid-19 와 사이버공격 시대에서 불가항력조항의 의의

[ 2020.04.01. ] 


2020. 3. 26. 주한유럽상공회의소(ECCK)와 법무법인 화우는 사이버 보안에 대한 전망 및 코로나 19(COVID-19)/ 사이버 공격과 관련된 불가항력 조항의 의의 및 실무적 고려사항 등에 대한 웨비나를 개최하였습니다. 이하에서는 주요 내용을 살펴보도록 하겠습니다.



1. 사이버 보안 및 실무적 고려사항

한국인터넷진흥원은 2019년 12월 5일 국내 주요 보안업체 6개사와 함께 지능형 지속 공격(이하 “APT”)의 위험을 포함하여 2020년도 사이버 보안에 대한 전망을 발표했습니다.


APT란 접속 권한이 없는 자가 전산 시스템 또는 네트워크에 침입하여 긴 시간동안 탐지되지 않은 상태로 시스템 또는 네트워크에 잔존하는 공격을 의미합니다. 잘 알려진 APT 공격 기법 중에는 피싱메일 등을 통하여 악성코드를 퍼뜨리는 방법이 있으며, 최근에는 잘 알려진 유틸리티 소프트웨어에 악성코드를 침투시킨 뒤 해당 소프트웨어를 사용하는 자를 공격하는 자원 활용 자력형(LotL) 공격 기법도 사용되고 있습니다.


기업을 대상으로 사이버 공격이 이루어질 경우 자칫 괴멸적인 피해가 발생할 수 있기 때문에 기업들은 자신의 정보보호 의무를 보다 정확히 이해하고 있을 필요가 있으며, 사이버 보안과 관련하여 선제적인 조치를 취하여 사이버 공격 위험으로부터의 노출을 최소화 할 필요가 있습니다.


가. 최소한의 법률적 의무 및 기준 준수

정보통신서비스제공자는 사용자들의 개인정보를 보호하기 위한 조치를 취할 법적 의무가 있으며, 개인정보 유출사고 발생 시 한국인터넷진흥원에 이를 보고하고 해당 이용자들에게 관련 법정 사항들을 통지할 의무가 있습니다. 또한 한국은 관련법들을 통해 관련 기업들이 지켜야 할 정보보호 규범을 정부가 선제적으로 제시하고 있습니다.


나. 적정한 보안시스템 구축

정보통신서비스제공자가 취하는 보호조치는 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치여야 합니다. 여러 보안 업체들이 이미 법령상 필요한 내용을 갖춘 보안 제품들을 제공하고 있어 이를 기본적으로 사용하고 해당 제품에 대한 지속적인 업데이트를 병행해야 합니다.


다. 전사적인 대응 및 이메일 등의 전자적 통신 수단을 지속적으로 관리

보안에 대한 지속적인 투자를 하고, 회사차원의 관리적 접근을 통해 사이버 보안 문제는 기술자만의 문제가 아니라는 인식을 직원들에게 심어주는 것이 중요합니다. 여러 번 진행한 업무 방식 등에 대해 새롭거나 기존과는 다른 처리방식이나 행동을 요구 받을 경우, 잘 알고 있는 상대방이라고 하더라도 해당 상대방에게 직접 전화를 하거나 팩스 등 아날로그적인 수단을 사용하여 확인을 할 필요가 있습니다.



2. 코로나(Covid-19) 및 사이버 공격과 관련된 불가항력 조항의 의의 및 실무적 고려시항

불가항력은 한국과 같이 대륙법을 따르는 법률체계는 물론 영미법을 따르는 법률체계에서도 인정되는 개념입니다. 한국의 경우 불가항력의 개념은 민법을 포함한 여러 법령에 내포되어 있지만, 이에 대한 명확한 정의는 법원 판례를 통해 확인할 수 있습니다. 대법원은 <불가항력을 그 사업자의 지배영역 밖에서 발생한 사건으로서 그 사업자가 통상의 수단을 다하였어도 이를 예상하거나 방지하는 것이 불가능하였음이 인정되는 사유>라고 판시한 바 있습니다. [대법원 2005다59475 (2007.8.23 선고)]


반면, 영미법 법률체계의 경우 불가항력에 대한 일반적인 법리나 관습적인 정의가 정립되어 있지 않기 때문에 이에 대한 정의 및 효력은 각 상황에 따라 계약서의 해석을 통해 이루어집니다. 다만, 영미법 체계에서도 계약서의 불가항력 조항에 적용되는 일반적인 원칙은 존재합니다. 일례로 (i) 불가항력에 대한 입증책임은 불가항력을 주장하는 일방에게 있다는 점, (ii) 계약서 상 불가항력 조항의 해석을 위해 “동종제한의 원칙(ejusdem generis)”과 같은 계약 해석과 관련된 기준들이 적용될 수 있다는 점, (iii) 불가항력 조항은 좁게 해석된다는 점, (iv) 일방 당사자가 불가항력 조항을 통해 보호 또는 면책되기 위해서는 불가항력으로 인한 피해를 경감시키기 위해 합리적인 조치를 취해야 한다는 점 등이 있습니다.


위 내용을 종합하자면 최근 문제가 되는 코로나 19 및 각종 사이버 공격으로 인한 분쟁 등에 불가항력 조항을 향후 적용시키기 위해서는 계약서를 작성하는 단계에서부터 세심히 불가항력 문구를 작성해야하며, 특히 (i) 불가항력의 정의 및 범위, (ii) 불가항력에 해당하기 위해 도달해야하는 사유의 심각성 (즉, 이행이 물리적으로 불가능할 경우만 해당하는지, 아니면 상업적으로 이행이 불가능할 경우도 포함되는지), (iii) 불가항력을 주장하기 위해 필요한 절차, 및 (iv) 계약당사자들 사이의 리스크 분배 등과 같은 사항들이 충분히 검토되어야 합니다.


또한 계약의무 불이행 등이 이미 발생하여 불가항력 조항이 적용 가능한지에 대한 판단이 필요할 경우 (i) 발생한 사건이 불가항력의 범주에 해당되는 지, (ii) 불가항력이 불이행 등의 직접적인 원인인지, (iii) 불가항력으로 인한 피해를 경감시키기 위해 어떤 조치를 취할 수 있는지, 그리고 (iv) 계약 의무 불이행 등을 피하기 위해 취할 수 있는 대안이 존재하는지 등을 고려하여 불가항력 조항의 적용 가능성을 가늠해 볼 수 있습니다.



동영철 변호사 (edward.dhong@hwawoo.com)

이근우 변호사 (klee@hwawoo.com)

김명안 변호사 (makim@hwawoo.com)

이준상 변호사 (jslee@hwawoo.com)

리걸에듀

관련 법조인