긍정과 부정이 교차하는 판결...보안관련 법-제도 마련 가장 시급

“정보보호에 긍정적인 투자 이끌어낼 수 있는 판결”

“정통망법 근거로 한 명확한 법해석과 법 의지표명 아쉬워”

14일 오전, 옥션 1심 판결에서 법원은 옥션이 주의 의무를 위반했다고 볼 근거가 부족하다며 원고 패소판결을 내렸다. 이번 판결은 내부자의 부주의에 의해 발생한 기존 정보유출 사건과는 달리 외부 해킹으로 인해 발생한 정보유출 사건에 대한 판결이었기 때문에 소송 당사자들 뿐만 아니라 각계각층에서 선고결과에 큰 관심을 가진 사건이었다.

선고결과에 따른 각계 반응도 다양하다. “기업들이 보안에 투자하고 충실히 이행한 상황에서 불가항력적인 해킹 사고가 발생하더라도 그 노력을 인정받을 수 있고 선의의 피해를 막을 수 있는 사례가 생겼다”고 반기는 분위기도 있다.

또한 “기업들이 개인정보가 유출됐더라도 신속하게 고객들에게 공지하고 동일한 공격으로 다른 기업들도 피해를 받지 않도록 공개하고 공유하는 문화가 형성될 수 있는 계기가 될 것”이라는 반응도 나오고 있다. 판결의 긍정적인 면을 말한 것이다.

한편 “긍정적인 면도 있지만 아직까지 미국과 같이 명확한 기업 정보보안 규정이 없는 상황에서 기업들이 이번 판례를 악용할 소지도 있다”는 반응도 있다.

◇임종인 한국정보보호학회장은 “긍정적인 면은 옥션이 정보보안에 대해 합리적으로 노력을 기울인 결과가 인정받았다고 볼 수 있다. 따라서 다른 기업들도 보안에 투자를 하고 보안관리를 준수한다면 소송이 걸려도 이길 수 있다는 사례를 보여 준 것”이라며 “정보보호에 대한 긍정적인 투자를 이끌어낼 수 있는 판결”이라고 말했다.

다만 “아쉬운 점은 법원에서 보다 적극적인 법해석을 해야만 기업들이 긴장하고 보안에 최선의 노력을 다할 수 있다고 생각한다. 옥션 판결에서도 웹서버 해킹이 이슈가 된 것으로 알고 있는데 이를 우회할 수 있는 여러 가지 해킹 기법들이 알려져 있었음에도 불구하고 이에 적극적으로 대처하지 못했다는 점은 아쉬운 부분”이라고 지적했다. 

또한 “기업들의 보안인식을 더욱 끌어올리기 위해서 이번 판결이 일부 승소 일부 패소 판결이 나왔다면 옥션의 정보보호 노력도 인정해줌과 동시에 다소 부족했던 부분에 대해 더욱 노력해 줄 것을 요구하는 법원의 의지를 표명할 수 있었지 않았나 생각한다”고 덧붙였다.

◇익명을 요구한 금융관련 보안전문가는 “이번 판결이 보안담당자들 입장에서는 다소 안도할 수 있는 측면이 있다. 기업이 보안에 적정선을 지켰을 경우 사고발생시 법의 보호를 받을 수 있다는 사례가 생겼기 때문”이라고 말했다.

하지만 “우리나라 보안관련 법 가운데 기업이 어느 정도까지 보안을 해야 법적 처벌을 면할 수 있는지 그 명확한 규정이 모호하다. 법정에서 각 사례별로 판결을 달리 할 수 있기 때문에 명확한 보안관련 법과 제도 정비가 시급하다”고 강조했다.

◇모 보안컨설팅 전문가는 보다 구체적으로 이번 판결에 대해 의견을 내놨다.

그는 “정통망법이 개정되면서 우리나라는 세계 최초로 개인정보 유출에 따른 정신적 피해보상을 해야 한다고 규정하고 있다. 하지만 이번 판결에서는 그 부분이 빠져 있는 것으로 보인다. 기존 판례와 배치되는 부분이 있다”고 지적했다.

한편 “우리나라에서 옥션 정도의 보안수준을 구축하고 있는 기업은 몇 안된다. 객관적으로 봐도 국내에서는 보안을 잘하고 있었다고 봐야 한다. 하지만 결과적으로 봤을 때, 해당 기업에 걸맞는 최고 수준의 보안은 아니었다는 것”이라며 “원래 취약점을 가지고 있었던 해당 DB관리 시스템을 지속적으로 모니터링 했어야 했다”고 덧붙였다.

그는 또 “보안이란 것은 100%가 없다. 미 국방부도 뚫리는 경우가 있다. 옥션 해킹 건은 중국 해커가 브로커의 요구에 의해 집요하게 전략적으로 공격한 것이다. 이렇게 되면 방어하는 옥션 입장에서는 불가항력일 수밖에 없다”고 말했다.

하지만 “정통망법의 관리적 기준을 보면 개인정보 앞단에 파이어월(방화벽)을 설치하도록 규정하고 있다. 하지만 대형 사이트들은 이 규정을 완벽하게 지키기가 힘들다. 많은 트래픽 앞에 파이어월이 설치되면 엄청난 비용이 들어가기 때문에 형식적인 방법만 취하는 경우가 많다”며 “법원 판결이 정통망법에 근거한 명확한 판결이 나왔으면 하는 바람이다. 옥션이 파이어월을 구축하지 않았다는 것은 정통망법의 기본적인 조치사항을 준수하지 않았다는 것이다. 이러한 부분을 명확하게 지적해야만 법 의지가 표명되고 기업들이 보안에 더욱 노력을 기울이게 될 것”이라고 지적했다.

◇모 보안업체 관계자는 집단소송이 보안산업에 미칠 수 있는 영향에 대해 소견을 밝혔다.

그는 “정통망법을 제대로 이해하지 못하고 보안개념도 없는 일부 변호사들의 무분별한 집단소송은 반대하지만 기업의 보안경각심을 촉발시키기 위한 시민들의 집단행동은 필요하다”고 언급했다. 

또 “소송을 통해 판례가 나오고 판례를 통해 실질적인 피해액이 산출된다. 정부나 기업은 그러한 피해액을 기준으로 보안정책을 세울 수 있고 그로인해 보안산업도 발전할 수 있다고 생각한다”고 말했다.

집단소송의 문제점을 해결하기 위해 행정안전부는 실제로 ‘집단분쟁조정제도’를 도입할 예정이라고 밝혔다. 이를 통해 보다 전문적인 위원들이 분쟁을 해결하게 되고 납득할 수 있는 판결이 나올 수 있을 것으로 보인다. 일반 법원은 기술적인 이해도가 떨어질 수 있기 때문에 보다 전문가들이 판결한 분쟁조정위원회의 결정을 수용하게 되면 법원의 부담도 덜 수 있을 것이다. 또한 경찰에 집중돼 있는 사이버 고소·고발건을 분산시키고 올바른 판결을 할 수 있는 효과도 있을 것이다.

대형 사이트 보안담당자들도 의견을 내 놓았다.(익명 요구)

◇A 사이트 보안담당자는 “옥션이 무죄 판결이 난 것은 적극적으로 대응하였다는 것을 재판부에서 인정을 해준 것이 아닌가 생각한다. 해킹이라는 것이 100% 막을 수는 없지만 최대한 노력을 한다면 그 노력에 대해서는 인정을 해준 사례가 아닐까 싶다”며 “2·3심도 지켜봐야겠지만 적극적으로 노력한 경우 뚫린 것에 대해서 무죄로 최종 나온다면 기업 입장에서는 부담이 덜하지 않을까 생각된다”고 밝혔다.

그는 또 “그렇게 되면 선의의 기업이 피해를 보는 일은 없을 것이고 무작정 집단 소송을 하는 사례도 좀 줄지 않을까. 그리고 기업도 해킹 사실을 굳이 숨겨서 피해를 확대시키는 것보다는 적극적으로 알려 피해를 줄일 수 있게 노력하지 않을까 생각한다”고 덧붙였다.

◇B 사이트 보안담당자는 “일단, 소송을 제기한 원고측 입장에서 본 다면, 1심 재판부의 판단에서 법이 요구하는 기술적 보안 수준과 해킹 당시 조치 내용, 해킹 기술의 발전 정도, 해킹 방지에 필요한 비용, 이용자의 피해 정도를 기준으로 옥션이 해킹방지의무를 다하지 못했다고 보기 어렵다고 판결을 했는데, 그렇다면 1,000만명 이상의 개인정보가 유출된 사건의 가해자는 누가되는 것인가? 1,000만명의 피해 정도를 어떻게 해석했는지 의심스럽다”고 말했다.

또 그는 “개인정보유출 피해를 입은 당사자들은 누구에게 그 책임을 물어야 하는가? 또한 정통망법 제28조 개인정보의 보호조치에는 ‘개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영’ 이라고 명시되어 있는 부분을 재판부가 너무 쉽게 해석한 것은 아닌가하는 의구심이 든다”고 정리했다.

한편 사업자 입장에서 그는 “해킹 기술의 발전에 대해 현실적인 회사의 대응 노력을 인정한 사례로 보고 환영할 만한 일이라고 본다. 다만 기업의 개인정보보호에 대한 가이드라인이 아직도 부족한 것 아닌가하는 생각이 드는 만큼 관련 법률 및 고시를 통해 더욱 세분화 하는 노력이 필요하다고 생각한다. 기업들도 그 기업의 규모에 맞는 최대한의 노력을 통해 예방활동을 수행함으로써 개인정보 유출 사고가 발생해도 최대한의 노력을 기울였음을 증명할 수 있는 증거자료를 잘 정리할 필요가 있을 것이다”라고 밝혔다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>