개인정보 관련 사건은 크게 두 가지 유형 : 유출형과 거래구조형
기업에게는 불리한 분위기... 사업 모델의 다각도적인 이해 필수

[보안뉴스 문가용 기자] 개인의 정보를 보호한다고 할 때 우리는 모든 것을 용서한다. 이유 불문이다. 게다가 그 개인정보를 통해 누군가 수익을 낸다? 용서할 수가 없다. 그런 와중에도 나를 향한 맞춤형 광고가 노출되거나 묻지도 않은 서비스가 제공될 때는 마음이 흐뭇해진다. 분명히 공장에서 찍혀 나온 기성품인데 내 발에 딱 맞는 수제화 같은 운동화가 발에 감겼을 때 세상 참 좋아진 걸 느낀다. 추천 앱에 내가 찾던 게 정확하게 떴을 때도 마찬가지다. 그런 서비스들이 나의 개인정보를 활용한 것이라고는 생각하지도 못한다.


개인정보라는 테마로 이틀 간 열리는 개인정보보호 페어(PIS FAIR) 2017의 둘째 날 강연을 맡은 김·장 법률사무소의 정중택 변호사는 개인정보를 둘러싼 현재의 법률적인 모습들을 다섯 가지 사례를 통해 설명했다. “개인정보 형사사건은 크게 두 가지로 나뉩니다. 하나는 유출형이고 다른 하나는 거래구조형입니다. 임직원의 부주의로 인해서나 외부 해커의 공격에 의해서 개인정보가 도난당하거나 불법 열람된 유형의 사건들이 유출형입니다. 반면 개인정보 사건을 파헤치다보니 사업의 전반적인 거래 구조가 문제임이 드러나는 사건이 거래구조형입니다.”

유출형 개인정보 사건
유출형 사건의 가장 대표적인 경우는 이른바 카드사 고객정보 유출사건이다. 카드사의 고객정보가 대량으로 유출된 사건인데 유출범 및 유통관련자들은 징역 3년~3년 6개월을 선고받았다. CPO도 ‘관리 미흡’을 이유로 기소유예 처벌을 받았다. “고객정보를 관리해야 하는 자가 여러 가지 기술적 어려움 등으로 관리에 실패했을 때, 이를 과실이 아니라 미필적 고의라고 판단한 겁니다. 또 한 가지는 ‘외주사’가 무죄 선고를 받았다는 것이죠. 즉, 고객이 개인정보를 직접 위탁한 기업에만 관리의 책임이 엄중하게 주어진다는 겁니다.”

또 다른 유출형 사건으로는 숙박 예약 업체의 개인정보 유출사건이 있다. 해커가 관리자 세션 값을 탈취하여 서비스 관리 웹 페이지 우회 접속을 해 약 90만 건의 회원 정보를 빼내간 사건이다. 특이한 건 해커가 4817건의 협박 문자를 보낸 것. “보통의 개인정보 유출사건에서는 정보가 유출된 고객의 실질적인 피해 상황을 입증하는 게 굉장히 어려워요. 대부분은 누군가 개인정보를 빼내가지만 그것이 실제로 활용되기 전에 회수가 되거나 파기조치 되거든요. 즉, 개인정보 자체가 안정적인 상태에서 불안정한 상태로 갔다가 다시 안정된 상태로 돌아오는 게 흔히 있는 일입니다. 물론 유출된 것 자체는 확실한 일입니다만, 그것이 정말 피해인가 아닌가에 대한 논란은 아직도 계속되죠. 하지만 그 숙박 예약 업체의 경우는 협박 문자로 인해 분명한 피해자가 발생했습니다. 이러면 사건이 성립이 되죠.”

마지막 유출형 사건은 온라인 쇼핑 사이트의 고객정보 유출사건이다. 직원 중 한 명이 동생과 이메일을 자주 주고받았는데, 해커가 APT 공격을 통해 이 행위를 계속 지켜보고 있다가 동생으로 사칭해 직원에게 이메일을 보낸 것으로부터 본격적인 공격이 시작됐다. “가족 사진으로 만든 화면보호기를 만들었다는 내용의 메일이었고, 직원은 아무 의심 없이 이걸 열어서 감염이 시작됐습니다. 해커는 여기서부터 파일 공유 서버를 점거하고 개인정보 취급자를 감염시켰죠. 그리고 고객정보가 대량으로 유출됐습니다.” 현재 이 사건은 해당 기업에 44억 과징금이 판결났으나 항소 중에 있다.

“이러한 사건들로 봤을 때 개인정보와 관련된 사건들은 조금은 독특하게 진행됩니다. 보통은 사건의 피해자와 피의자가 있을 때 피의자에게 책임을 묻고, 피해자에게는 책임을 묻지 않거든요. 피해자에게 책임을 묻는 건 아주 예외적인 경우죠. 그런데 개인정보와 관련된 사건은 피해 기업에게 ‘왜 관리를 이렇게밖에 못했어?’라고 묻고 있는 형국입니다. 피의자는 외국에 있든지 누군지 밝혀내기가 힘들든지 해서 드러나지도 않고요. 이게 말하는 것은 딱 하나입니다. 개인정보는 관리자의 것이 아니고 개인정보 주체자의 것이라는 겁니다. 개인정보를 가지고 영리활동을 하려면 엄격한 관리와 제도 아래서 해야 한다는 것이죠. CPO들이 처음에는 사건의 참고자 입장이었다가 피의자가 되는 건 흔한 경우입니다.”

거래구조형 개인정보 사건
한 회사에서 얼마만큼의 정보가 유출됐어, 라는 단발적인 사고에 반해 ‘이 산업 혹은 사업의 구조 자체가 문제’시 되는 경우가 있다. 그것이 바로 거래구조형 사건들이다. “예를 들면 경품행사를 통한 개인정보 부정 수집의 사건이 있었습니다. 소비자들에게 응모권을 나눠주고, 거기에 마케팅 용도로 개인정보를 수집한다는 안내가 있었습니다. 억지로 수집하는 것도 아니었고 오히려 소비자들이 자발적으로 적어냈죠. 다만 정말 깨알 같은 글씨로 정보 수집에 관련된 안내 문구가 적혀 있어서 사실상 읽기가 힘들었던 것이죠. 1심 및 2심에서는 무죄 판결이 났습니다.”

개인정보의 사전 필터링을 위해 개인들의 사전 동의 없이 보험사에 제공하는 경우도 있다. 중복된 데이터가 너무 많다보니 더 빠르고 정확하게 정보를 처리하기 위해 일부를 걸러내려고 한 것인데, 이러한 작업 방식에도 문제가 있지 않냐는 논란이 생겼다. “하지만 ‘처리를 위탁한 것이므로’ 1심 및 2심에서는 무죄 판결이 났습니다. 제3자 제공 동의가 필요하지 않다는 게 법원의 해석이었습니다.”

하지만 대법원은 이 판결을 모두 뒤집었다. 응모권 사건의 경우는 부정한 수단, 방법에 해당한다고 판단했고 사전 필터링의 경우 제3자에게 제공할 때도 동의가 필요하다고 판결을 내린 것이다. 그리고 새로운 입법적 움직임이 시도되고 있다. “그때 그 응모권의 깨알 같은 글씨가 문제가 되었기 때문에 앞으로 중요한 내용은 명확히 표시하여 알아보기 쉽게 하도록 하는 법이 개정될 예정입니다. 또한, 정보 주체가 개인정보의 제3자 제공에 동의하였다 하더라도 이익을 얻을 목적으로 개인정보를 매매하는 것을 금지하고 이와 관련한 처벌 조항도 마련됐습니다. 현재 국회에서 계류 중이고요.”

이런 판결과 새로운 개정안들을 봤을 때 “기업이 사업상 개인정보를 활용하기 매우 불리해지고 있다”고 정중택 변호사는 의견을 피력했다. “개인정보를 활용하는 면보다 보호하는 면에 지나치게 치중해 있습니다. 보호를 위해서는 기존 법을 뛰어넘겠다는 의지도 충분히 보이고 있을 정도입니다. 물론 개인정보가 보호되어야 할 것은 분명하지만, 잘 활용했을 때 사회비용을 절감할 수도 있는 자원이거든요. (입법하는 쪽에서)이 둘을 다 고려해야 할 것입니다.”

하지만 그 동안 기업들은 이런 삼엄한 환경에서 어떻게 사업을 이뤄나가야 할까? 평소부터 정보보호 전문가와의 끊임없는 소통을 통해 회사 데이터 상황을 모니터링하고 사건 발생 시 즉각 대응할 수 있는 것이 물론 중요하다. 관련 규제를 꼼꼼하게 파악해 업무에 반영시키는 것도 기업의 당연한 책임이다. 그리고 하나가 더 있다. “형사 사건이 벌어지고 변론을 해야 할 때 비즈니스 모델에 대한 이해를 바탕으로 한 법리 주장을 할 수 있어야 합니다. 그저 법 조항 하나 들고 해석을 시도해봐야 아무도 들어주지 않습니다. 내가 하고 있는 사업의 모델이 무엇인지, 그 사업 방향과 방법론에 기초한 법리 해석을 해야 하죠. 자기 사업을 법적, 기술적, 규범적 차원에서 알아두는 것이 지금은 가장 필요한 때입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>