검색
내가 쓴 책

[내가 쓴 책] ‘해킹판결’

해커의 눈으로 본 정보보호 법집행, 냉·열탕 오가는 이유

161259.jpg

해킹(고객정보 유출) 관련 우리나라 법집행은, 초창기 너무 느슨한 ‘냉탕’이었다면 지금은 상당히 엄격한 ‘열탕’이다. 1세대라고 할 수 있는 과거 옥션, 싸이월드, KT N-STEP 해킹 사건의 경우, 정부의 행정처분 없이 피해자들이 제기한 민사소송만 진행되었는데 결국 기업의 법적 책임이 인정되지 않았다. 한편, 2세대 들어서는 정부가 과징금을 부과하기 시작했다. KT 마이올레 해킹이 첫 사건인데, 그래도 여기까지는 KT가 법적 책임을 면하는데 성공했다. 패소한 정부는 법집행 강도를 더 높였고, 후속 사건인 뽐뿌, 인터파크, 알패스 등 해킹 사건에서는 기업이 법위반책임을 벗지 못했다. 올해부터는 3세대에 들어섰다. 기업의 정보보호 담당자 개인을 처벌하는 형사판결까지 나오기 시작했는데, 하나투어 및 빗썸 해킹 사건이 그 예이다.


처음부터 ‘온탕’이었다면 지금 ‘열탕’이 되지 않았을지도 모르는데, 왜 ‘냉탕’으로 시작했을까. 이는 불과 몇 년 전까지 “정부가 고시한 보호조치만 했다면 처벌받지 않을 뿐만 아니라 정보유출 피해자에게 민사상 손해배상도 하지 않아도 된다”는 잘못된 법리가 통용되었기 때문이다. ‘정부가 고시한 보호조치’는 위반 시 과태료, 과징금, 형사처벌을 부과하는 제재 구성요건일 뿐 사법상 과실 여부 판단기준이 아니다. 즉, 위 법리는 마치 “교통사고를 낸 운전자가 전방주시 의무를 소홀히 했어도 형사처벌 대상이 아니므로 민사상 손해배상 책임도 없다”라고 말하는 것과 다름이 없다.

위 법리가 통용되자 정부로서는 행정입법의 불비로 피해자 구제 흠결이 발생한다는 지적을 피하기 위해 고시상 보호조치의 수준을 계속 높여야만 했다. 정부 규제의 획일성, 한번 강화되면 다시 완화되기 어려운 일방향성 등으로 인해 기업(특히 중소기업과 스타트업)에게 점점 과도한 정보보호 규제가 부과되고 있다.

중도(中道)를 추구하려면 올바른 규제 철학이 필요하다. 이 책의 제안은 ‘정부 고시상 보호조치’는 ‘교통사고 12대 중과실’처럼 운영하자는 것이다. 교통사고처리특례법은 신호위반과 같이 그야말로 최소한의 주의의무 범주에 속하면서 위반 여부가 명확한 유형은 처벌 대상으로, 그 이외의 일반적인 과실에 대해서는 보험처리 또는 피해자와의 합의 대상으로 각각 나누고 있다. 정보보호 분야도 마찬가지로, 고객의 데이터를 해킹 당한 기업에게는 원칙적으로 민사책임만 지우되, 중과실에 가까운 보안 소홀로 해킹을 당한 경우는 공법적 제재까지 부과하는 것으로 기준을 이원화해야 한다. 전자의 집행기관은 민사법원, 후자는 행정청이다.

개인정보 해킹 사고를 통해 형성된 제도는 장래 ‘더 돈이 되는 정보’가 해킹 당하는 사고(인명·재산 사고)에서도 확장 적용될 것이다. 정보보호라는 첨단기술 분야에서 과잉규제와 과소집행 사이의 균형을 잘 잡아야만 산업의 발전과 소비자 보호라는 두 마리 토끼를 쫓을 수 있다.


전승재 변호사 (법무법인(유한) 바른)


미국변호사

관련 법조인