| [톡톡 토크] 개인정보 유출인 듯 아닌 듯 유출 사건? | 2015.02.25 | |
국내, 고의성 無·그야말로 어쩔 수 없는 유출로 규정 해외, 향후 손해를 입을 수 있다는 가능성은 피해로 안 봐
[보안뉴스 주소형] ‘피해자는 있는데 가해자가 없는 사건’이 또 나왔다. 지난 2008년에 발생했던 옥션 유출사건에 대한 최근 대법원 판결이 그것이다. 물론 법에 의거해 정당한 절차를 거쳐 난 판결이다. 하지만 당시 우리나라 국민 4,900만 명 가운데 1,080만 명이 피해자였던 사건. 국민 5명중에 1명꼴의 정보가 유출됐던 사건이 또 다시 ‘물음표’로 남게 됐다.
그런데 이런 아이러니컬한 사건은 우리나라에서만 일어나는 것이 아니다. 해외에서도 비슷한 사례들을 찾을 수 있었다. 정보가 유출됐고 피해자도 있으나, 법의 테두리 안에서 따져본 결과 고의성이 없고 그야말로 ‘어쩔 수 없이’ 유출된 것으로 규정되어 해당 기업이 무죄로 판결 난 사건들 말이다. 과연 해외에서는 어떤 논리로 이런 판결을 냈는지 알아봤다. 해외에서의 판결 논리는 국내와는 다소 달랐다. 몇 개의 판례 내용 및 관련 보고서를 살펴보니 공통적으로 눈에 띄는 부분이 있었는데 바로 사실상의 피해 여부 테스트(Injury-in-fact test)’를 통과하지 못했기 때문이라는 것. 쉽게 말해 피해자를 피해자로 판단하지 않았다는 내용이다. 유출로 인해 파생된 일들이 과연 ‘피해’인지를 따져보는 것이라고 한다. 단 미래에 손해를 입을 수 있다는 가능성은 피해로 인정하지 않는다는 것이 원칙이다. 예를 들어 A라는 기업이 해킹을 당해 B라는 사람의 전화번호가 유출됐는데 이로 인해 B는 스팸전화 및 문자를 받기는 했으나 이를 피해라고 보기에는 무리가 있을 수 있다는 것이다. 다음은 각 사건의 간략한 줄거리와 당시 판결문을 발췌한 말들이다. 2. 2006년에 소송이 시작돼서 2008년에 최종판결이 내려졌던 사건이다. 지금은 뱅크오브아메리카(Bank Of America)에 의해 인수됐지만 당시 대형 모기지 기업이었던 컨트리와이드(Countrywide)사에서도 고객 정보가 유출됐다. 이는 컨트리와이드사 내부 직원이 다른 곳에 고객 정보들을 팔아넘긴 것이다. 이로 인해 200만건이 넘는 고객들의 개인 정보들과 금융 정보까지 유출된 것이다. 해당 고객들은 지나친 스팸 전화 등에 시달려 전화번호를 바꿔야할 지경이고 본인의 신용(credit)에 문제 생겼는지 확인하는 데 시간이 소요됐다며 컨트리와이드사를 소송했다. 그러나 이 또한 ‘사실상의 피해 여부 테스트’를 통과하지 못해 원고 패소 판결됐다. 당시 판결을 내린 켄터키(Kentucky) 주 연방법원은 “스팸 전화 및 신용 확인 절차가 금전적인 피해로 연결된 증거가 없다”고 밝혔다.
옥션 사건이나 위에 언급한 사건들은 6~12년전에 발생했다. 지금은 그때와 개인정보, 유출, 해킹, 보안에 대한 개념 자체가 달라졌다. 가장 최근 발생했던 타깃 유출 사건에서 해당 기업이 취하는 태도만 보아도 알 수 있다. 적어도 타깃은 사건의 책임을 아예 부인하지 않고 서비스 제공을 자진해서 취하는 등 그 전 사건들을 비교해도 확연히 다르기 때문이다. 법정에서 피해를 규정하고 측정하는 방법과 기준 역시 이런 시대의 변화를 반영할 수밖에 없을 텐데, 그런 의미에서 타깃 사건의 최종판결이 어떻게 날지 궁금해진다.
[국제부 주소형 기자(sochu@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
