• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

배상의 초점은 피해가능성이 아닌 실제 피해에 있다 2014.09.19

\r\n

\r\n

우리나라 국민들은 올 초부터 신용카드사의 대규모 개인정보 유출로 인해 큰 충격을 받았다. 덕분에 개인정보보호에 대한 관심과 관련 소송에 대한 관심은 높아졌다. 하지만 처벌규정이 약하고 소송을 통해 손해배상을 받거나 법적 분쟁에서 이기는 것은 그리 쉽지 않다. 그러나 미국·영국·일본 등의 선진국에서는 우리나라와 달리 개인정보 유출사고 시 막대한 배상금 부과와 엄중한 처벌이 뒤따른다. 특히 미국의 경우에는 개인정보 유출시 해당 기업은 피해자에게 충분한 보상과 원만한 화해를 위해 노력하지만, 우리의 현실은 법원의 최종 판결까지 가는 법적 분쟁을 해야만 가능한 일이다. 또 법원 판결에서 이기기 위해서는 정보유출로 인한 남용 피해를 피해자가 구체적으로 입증해야 배상을 받을 수 있다. 즉 ‘피해가능성’이 아닌 ‘실제 피해’에 초점이 맞춰져 있다. 이에 테크앤로 법률사무소 구태언 대표변호사의 도움을 받아 해외기업의 개인정보 유출 시 관련 소송사례를 분석해봤다.

\r\n


\r\n


\r\n

글로벌 개인정보유출 제재사례

\r\n

최근 발표된 2014년 1/4분기 전 세계 데이터 유출·침해 통계보고서에 따르면 우리나라가 가장 많은 데이터 유출 국가로 조사됐다. 올해 1분기만 해도 자그마치 1억 5천만건의 개인정보가 유출된 것. 우리나라 인구가 4,900만여 명이니 1인당 3번꼴로 털린 셈이다. 그러나 우리나라의 경우 개인정보 유출 기업과 정부 차원에서의 대응이 미흡하다. 특히 유출 기업에 대한 솜방망이 처벌로 국민들의 공분을 사고 있다. 그렇다면 외국은 유출사고에 어떻게 대응할까?

\r\n


\r\n

Case 1. Target(미국, 2013년, 4,000만 건)

\r\n

미국의 대형유통업체 타깃(Target)은 지난해 11월 27일부터 POS 시스템이 해킹당해 고객의 신용·직불카드 정보 4000만 건이 유출된 바 있다. 유출된 정보는 고객의 이름, 신용카드 및 직불카드번호, 유효기간, CVC 값이다. 뿐만 아니라 지난 1월 10일 7000만 명의 개인정보 유출사실을 추가적으로 발표했다. 유출된 카드정보와 개인정보를 합치면 약 1억 1000건의 유출사고가 발생한 것이다.

\r\n


\r\n

현재까지 당국의 제재 결과는 발표되지 않았으나, 미국의 재무관리 업체 ‘슈퍼머니’ 등에서는 타깃이 지급해야 할 과징금이 건당 최대 90달러, 총 합계 36억 달러(한화 약 3조 8천억 원)가 넘을 것으로 예상하고 있다. 그렇다면 타깃 유출사고에 어떻게 대처했을까. 이들은 유출 사실을 인지한 후 즉각적으로 고객에게 알리고 웹사이트에 공지했다. 뿐만 아니라 당국 및 금융기관에 이를 통보했다. 또한 모든 고객을 위해 1년간 무료 신용 모니터링 서비스를 제공하고 신원정보 도용 방지 프로그램을 무료로 제공키로 했다.

\r\n


\r\n

미국 JP모건은행은 타깃 사건으로 피해를 받은 고객들을 대상으로 200만개의 신용·직불카드를 교체하겠다고 밝혔다. 시티은행, 뱅크오브아메리카, 웰스파고은행 역시 해킹 공격을 당한 모든 고객의 직불카드를 교체해 주겠다고 밝혔다. 교체비용은 금융회사가 모두 부담했다. 또한 이번 개인정보 유출사고에 무거운 책임을 느낀 그렉 스타인하펠(Gregg steinhafel) CEO는 지난 5월 5일 CEO와 회장직에서 물러났다.

\r\n


\r\n

Case 2. Softbank(일본, 2004년, 800만 건)

\r\n

일본의 통신사 소프트뱅크는 지난 2004년 자사가 운영하는 야후BB의 이용자 800만 명의 정보를 외부 해커에게 유출 당했다. 다행히 해커가 이용자 정보를 다른 곳에 팔아넘기기 전에 검거되어 2차 피해는 없었지만, 일본 최고재판소는 고객에게 약 40억 엔(한화 약 407억 원)을 배상하라고 판결했다.

\r\n


\r\n

일본은 이미 2003년부터 ‘개인정보보호에 관한 법률’을 제정해 개인정보 유출사고에 미리 대처하는 모습을 보였다. 이에 비해 우리나라에서는 2011년 ‘개인정보보호법’이 제정됐다. 일본의 ‘개인정보보호에 관한 법률’에 따르면 개인정보 유출 시 수천만 엔에 달하는 과징금을 부과해야 할 정도로 엄격한 제재를 가한다. 때문에 중소기업 및 영세기업의 경우 개인정보가 유출되면 망한다는 인식이 널리 퍼져있다.

\r\n


\r\n

Case 3. Sony(영국, 2011년, 7,700만 건)

\r\n

소니는 지난 2011년 4월 플레이스테이션 네트워크(PsN)에 해킹공격으로 7,700만 명 이상의 개인정보가 유출됐다. 유출된 정보는 이름, 주소, 이메일 주소, 아이디, 비밀번호, 결제정보이며, 영국 정보보호위원회(ICO)는 이로 인해 2차 피해가 예상된다고 판단했다. 영국 정보보호위원회(ICO)는 소니의 PsN 해킹사고에 대하여 25만 파운드(한화 약 4억 2,000만 원)의 과징금을 부과했다.

\r\n


\r\n

Case 4. Choice Point(미국, 2004년, 14만 건)

\r\n

미국의 소비자 신용정보기관인 초이스 포인트는 지난 2004년 10월 경 시스템 취약성으로 인해 14만 명의 민감한 소비자 정보가 유출됐다. 유출된 정보는 소비자 성명, 사회보장번호, 생일, 고용정보, 신용이력 등이다. 유출 후 침해사고 사실을 피해자들에게 제대로 공개하거나 고지하지 않아 신용카드 위조 등의 금융사기 2차 범죄로 발전됐고, 약 800여명이 피해를 입었다. 이에 미국연방거래위원회(FTC)는 고객 정보보호를 소홀히 했다는 점을 들어 지난 2006년 1월 ‘보안실패 및 개인정보취급에 관한 소비자 권리침해’ 등을 이유로 1,000만 달러(한화 약 106억 원)의 과징금을 부과했다. 또한 고객에게 500만 달러(한화 약 53억 원) 상당의 벌금을 배상하라고 판결했다.

\r\n


\r\n

개인정보 유출 화해사례

\r\n

미국은 개인정보 유출사고와 관련해 집단소송을 제기하면 기업과 기관에서 고객과 최대한 화해하려 노력한다. 또한 ‘집단소송제도’를 통해 개인정보 유출 피해자 중 한 명이 대표로 소송에서 승소할 경우 소송에 참여하지 않은 피해자들도 보상받는 제도를 운영하고 있다.

\r\n


\r\n

우리나라에서도 최근 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정안이 통과됨에 따라 구체적인 손해액 입증 없이도 최대 300만원의 손해배상액을 지급하는 법정 손해배상제도가 도입됐다.

\r\n


\r\n

하지만 우리나라는 지금까지 각 사건별로 피해자가 피해사실을 직접 입증해야 했고 집단소송이 발생하면 화해보다는 판결까지 가는 경우가 많았다.

\r\n


\r\n

Case 1. Certegy Check Services(미국, 2007년, 850만 건)

\r\n

미국의 금융서비스 회사 Certegy Check services는 지난 2007년 회사의 개인정보 관리책임자가 850만 명의 고객정보를 빼돌렸다. 그는 빼돌린 개인정보를 브로커에게 판매했고, 브로커는 이를 마케팅 목적으로 재판매했다. 유출된 개인정보에는 기본적인 인적사항뿐 아니라 계좌정보, 신용카드 번호 등이 포함됐다. Certegy Check services측은 고객에게 신용정보 내지 은행정보 모니터링 서비스를 제공하고 개인정보 도난보험에 가입할 수 있도록 조치했다. 이로 인해 신용카드나 체크카드 정보가 유출된 피해자는 1년, 은행계좌정보가 유출된 피해자는 2년 동안 서비스를 무상으로 제공받을 수 있다.

\r\n


\r\n

또한 향후 정보유출 사고가 발생할 경우 추가적으로 지출하게 되는 비용을 1인당 최대 2만 달러, 총 400만 달러까지 지불하기로 약정했다. 정보유출에 따라 새로운 계좌를 개설하기 위해 소요되는 비용도 보상했다. 더불어 검찰총장의 seniors vs. Crime 프로그램 및 고령자들을 위한 교육과 조사, 그리고 범죄방지 프로그램에 12만 5,000 달러를 기부하고, 85만 달러를 조사당국과 해당 사건의 변호사를 선임하는 비용으로 지불했다.

\r\n


\r\n

Case 2. TJX(미국, 2007년, 9,400만 건)

\r\n

미국 최대 규모 유출사건(9,400만 건) 중 하나로 꼽히는 사건이다. 미국의 대형 유통회사인 TJX에서 고객정보가 유출되어 카드위조업자 등에게 전달되는 사건이 발생했다. 2007년 1월에 집단소송이 제기됐으나 화해로 종결됐다.

\r\n


\r\n

운전면허 또는 납세번호 등이 유출된 피해자에게는 3년간 신용정보 모니터링 서비스와 2만 달러 상당의 개인정보 도난보험이 제공됐다. 또한 유출로 인한 운전면허증 교체비용 등을 제공받았다. 이와 함께 쇼핑몰에서 신용카드 및 수표 등을 사용한 피해자에게는 30달러 상당의 상품권 혹은 15달러 상당의 수표를 한 장 또는 두 장 지급했다. 이 외에 특정일에 TJX계열 쇼핑몰에서 구입한 제품을 15% 할인해주는 행사를 진행하기도 했다.

\r\n


\r\n

개인정보 유출 기각사례

\r\n

지금까지 외국기업의 개인정보 유출시 제재·화해사례를 살펴봤지만, 앞서의 사례처럼 유출 피해자에게 항상 유리한 결과가 나오는 것은 아니다.

\r\n


\r\n

개인정보 유출사고가 잇달아 발생하면서 피해자들이 자신들의 권리를 찾으려 집단소송을 추진하고 있지만 법원은 대부분 기업의 손을 들어주고 있다.

\r\n


\r\n

Case 1. Acxiom(미국, 2003년, 16억 건)

\r\n

미국의 마케팅 회사 액시엄(Acxiom)은 지난 2002년부터 약 2년간 데이터베이스에 기록된 고객 소비자 정보 16억 건을 해커에게 꾸준히 탈취당했다. 유출된 정보는 이름, 주소, 이메일 주소 등으로, 사상최대의 개인정보 유출사고로 꼽히고 있다.

\r\n


\r\n

검찰은 액시엄의 개인정보관리 부주의로 인한 침해를 인정했으나 액시엄 측에서 해커를 추궁하고 당국과의 협조에 적극적이었다는 점과 네트워크 침입이 있었다고 판단한 후, 연방 수사관에게 직접 연락을 취하는 등 액시엄 측이 발 빠르게 대처한 점은 높이 평가했다.

\r\n


\r\n

검찰 측은 조사결과 개인 신원 도용이나 피해의 위험이 없음을 밝혔고 소비자들이 정보유출로 인한 남용 피해를 구체적으로 입증하지 못하였다는 이유로 집단소송은 기각됐다. 해당 기각사례는 ‘피해가능성’이 아닌 ‘실제 피해’가 있어야 한다는 점을 명확히 보여주는 사례다. 한편, 고객정보 16억 건을 유출한 해커는 징역 8년을 선고받았다.

\r\n


\r\n

Case 2. Countrywide(미국, 2006년, 240만 건)

\r\n

미국 대형 융자업체 컨트리와이드(Countrywide) 사의 직원이 고객 240만 명의 민감정보와 금융정보를 빼돌려 제3자에게 판매했다. 유출된 정보는 고객 이름, 주소, 사회보장번호, 담보대출 번호 및 기타 다양한 대출신청 정보를 포함하고 있는 것으로 밝혀졌다.

\r\n


\r\n

원고는 자신의 정보가 도난당한 이후 추가적인 명의도용을 방지하기 위해 신용 모니터링 서비스를 신청했고, 명의도용에 관한 조사로 시간을 소비했으며, 텔레마케팅 전화가 폭주해 전화서비스를 취소해야했다며 이에 대한 손해배상을 주장했다. 또한 컨트리와이드가 뉴저지 정보유출통지법과 공정신용보고법(FCRA)을 위반했다고 주장했다.

\r\n


\r\n

FCRA은 신용정보회사들이 지켜야 할 개인정보보호정책과 신용평가보고서의 정확성과 공정성을 명시하면서 소비자가 신용정보 회사들이 채권자나 보험회사, 고용주, 또는 법적으로 소비자의 정보를 요구할 수 있는 개인이나 회사들에게 제공하는 정보가 어떤 것인지 알권리를 규정한 법이다.

\r\n


\r\n

그러나 켄터키 지방법원은 명백한 경제적 손실이 없었다는 이유로 해당 소송을 기각했다. 더불어 정보의 도난은 정보의 제3자 제공이 아니므로 FCRA를 위반한 것이 아니라고 판결했다.

\r\n


\r\n

Case 3. Hannaford(미국, 2007년, 420만 건)

\r\n

미국의 식료품 소매점인 한나포드(Hannaford)는 지난 2007년 12월 7일부터 2008년 3월 10일까지 소비자 직불카드 및 신용카드 정보 420만 건이 유출됐다. 1차 순회법원은 소비자들의 집단소송제기에 대해 한나포드의 개인정보보호 위반행위는 집단에 대한 공통적인 피해가 될 수 있음을 인정했다. 처음으로 해킹으로 인한 비용지출 청구 집단소송을 인정했으나, 집단소송을 통해 피해자들의 발생비용 입증이 어렵다고 지난 2011년 결정했다.

\r\n


\r\n

그러나 신용카드 정보 해킹 후 소비자가 지출한 신용보험 가입 및 새로운 신용카드 발급 관련 비용은 해킹 사건으로 인해 지출되는 ‘합리적으로 예측 가능한 비용’이므로, 법적으로 배상 가능한 손해임을 인정했다. 이후 4명의 소비자가 신규 신용카드 발급 비용, 신용보험 가입비용에 더해 신용정보 도난을 감시하는데 소요된 비용인 신용감시 비용까지 청구하는 새로운 집단소송을 제기했다. 이와 관련 미국 메인(Maine) 주 지방법원은 신용카드 발급 및 신용보험 가입비용을 제외한 신용감시 비용을 집단소송으로 입증하는 것은 불가능하며 이는 개별소송을 통해 판단해야 하는 사안이라고 지난 2013년 최종 결정했다.

\r\n


\r\n


\r\n

<글 : 보안뉴스 편집국(boan5@boannews.com)>

\r\n


\r\n

<도움말 : 구 태 언 테크앤로 법률사무소 대표 변호사 (taeeon.koo@teknlaw.com)>

\r\n


\r\n

[월간 시큐리티월드 통권 제212호(sw@infothe.com)]

\r\n


\r\n

<저작권자 : www.securityworldmag.co.kr) 무단전재-재배포금지>

\r\n