캘리포니아 법원, ‘그래서 총 얼마를 쓰겠다는 건지?’ 되물어
보안 강화의 약속도 모호해...예산과 보강 인원 수를 구체적으로 밝혀야

[보안뉴스 문가용 기자] 미국 재판소가 2016년 야후에서 발생한 대규모 정보 유출 사건에 대한 합의 내용을 거부했다. 합의 금액을 공개하는 방식이 부적절했다는 것과 변호사 비용이 너무 높게 책정되었다는 게 주요 이유다.


야후는 2016년 고객들에게 갑자기 충격적인 소식을 알렸다. 2014년 해커들이 야후에 침투해 5억 개의 계정 정보를 탈취해갔다는 내용이었다. 그리고 몇 개월이 지난 후 야후는 2013년에도 또 다른 유출 사고가 일어났으며, 약 30억 명의 사용자가 피해를 입었다고 발표했다. 또한 2014년 해킹 사고 때 해커들의 손에 넘어간 정보는 2015년과 2016년 계정 불법 접근 시도에 활용되기도 했다.

이 때문에 야후는 여러 집단 소송의 대상이 되었다. 투자자들과 사용자들 모두가 야후를 법정에서 만나고 싶어 했다. 그리고 작년, 야후는 미국의 증권거래위원회에 “2014년 유출 사고를 투자자들에게 알리지 않은 것에 대한 벌금으로 3천 5백만 달러를 내는 것”에 동의했다. 또한 투자자들을 위한 보상액은 8천만 달러로 책정됐고, 이 역시 법원의 승인을 받았다. 그 외에도 주주들의 집단 소송 건에 대해서 2천 9백만 달러가 합의금으로 결정됐다.

하지만 캘리포니아의 판사인 루시 코(Lucy Koh)는 지난 10월 야후가 발표한 합의금을 거부했다. 당시 야후는 피해에 대한 보상액으로 5천만 달러를 지출할 것이며, 2억 명 고객들에게 무료 신뢰 모니터링 서비스를 2년 동안 제공할 것이라고 발표했었다. 판사는 “이 합의를 통해 야후가 2012년에 발생했을지도 모르는 유출 사고들을 용서받으려 하고 있다”며 거부의 이유를 밝혔다. 야후는 2013년 이전에 발생한 유출 사고에 대해 아는 바가 하나도 없다는 입장을 고수하고 있다.

또한 캘리포니아 법원은 “합의금의 총액을 발표하는 부분 역시 부적절했다”고 설명했다. “전체 금액을 밝힘으로써 피해자 개개인이 정확히 얼마를 보상 받을 수 있는지 알 수가 없게 했다”는 게 보다 구체적인 내용이다.

“야후는 고객이 피해 복구를 위해 지출한 금액을 보상하는 데에 총 5천만 달러를 지출하겠다고 발표했습니다. 또한 집단 소송 상담 및 변호사 선임 비용은 최대 3천 5백만 달러, 그 외 지출 및 비용에 대해서는 최대 250만 달러를 보상하겠다고 했습니다. 하지만 신용 조회 서비스의 비용이 얼마인지, 집단 소송 비용 및 합의 행정 절차에 드는 비용에 대해서는 언급하지 않았습니다. 즉 야후가 진짜로 배상으로 지출하고자 하는 총 금액에 대해 알 수 없는 방식으로 합의 내용을 발표했습니다.”

변호사 비용과 관련해 3천 5백만 달러를 지불한다는 부분도 판사는 마음에 들어하지 않았다고 전해진다. “지나치게 높게 책정됐다”는 게 법원의 결정 내용이다. “만약 이 돈이 변호사 비용으로 다 사용되지 않으면 남은 돈은 야후로 되돌아가죠.”

그러면서 법원은 “결국 야후가 ‘합의금 총액’에 대해 잘못된 정보를 전달하는 방식을 취했다”고 결론을 내렸다. “이 사건을 통해 2억 명이 넘는 미국 및 이스라엘 시민들이 피해를 입은 것으로 알려져 있습니다. 야후가 법원에 제출한 비공개 자료를 보면, 보상을 받을 수 있는 대상은 2억 명보다 훨씬 적은 것으로 나타납니다. 따라서 법원은 이 금액이 합당한 것이라고 판단을 내릴 수가 없었습니다.”

또한 법원은 야후가 보안을 강화하겠다는 약속이 모호하며, 보다 구체적인 정보를 제공할 책임이 있다고도 덧붙였다. 특히 예산이나 담당자 수에 대한 언급이 있어야 할 것이라고 강조하기도 했다.

3줄 요약
1. 야후, 2016년 대규모 해킹 사건 공개해 세상을 충격에 빠트림.
2. 그에 대한 보상액도 차례차례 발표되고, 법원에 의해 확인됨. 그러나 최근 캘리포니아 법원은 이를 거부함.
3. 야후의 발표 방식이 총액을 알기 힘들게 했고, 보안 강화 약속이 모호했기 때문.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>