[김경환 변호사의 IT법]<38>'이상한 변호사 우영우' 속 개인정보 유출 사건의 진실과 허구의 경계

  • 작은 글자
  • 큰 글자
  • 프린터
[김경환 변호사의 IT법]&lt;38&gt;'이상한 변호사 우영우' 속 개인정보 유출 사건의 진실과 허구의 경계

요즘 가장 핫한 드라마 '이상한 변호사 우영우' 15화에서 개인정보 유출 사건을 다룬 적이 있다. 실제 있은 인터파크 개인정보 유출 사건을 다룬 것이다. 필자가 1심부터 3심, 헌재 소송까지 직접 관여한 사건이기 때문에 담당 변호사로서 몇 가지 오해의 우려가 있어 여기서 다루어 보려고 한다.

일단 드라마에서는 3000억원 과징금이 부과됐다고 나오지만 실제로는 44억8000만원이 부과됐다. 그럼에도 당시 기준으로는 가장 큰 규모의 과징금이 부과된 사건이었다. 2016년 기준으로 당시 개인정보 과징금 부과 업무는 방송통신위원회가 맡고 있었지만 현재 기준으로는 개인정보보호위원회가 맡고 있다. 드라마에서는 기업이 승소한 것으로 나오나 현실에서는 방통위가 모든 소송에서 완승했다. 이 점도 드라마와 현실이 다른 점이다.

특히 법리적으로 드라마에서 오해의 소지가 있게 다룬 부분이 바로 기술적 보호조치 위반과 개인정보 유출 간 인과관계에 대한 부분, 과징금 부과 대상이 되는 사실관계의 기준 시점이다.

먼저 드라마에서는 해커가 악성코드를 심은 이메일을 보낸 시점이 해킹이 시작된 시점이고, 해킹 공격이 시작된 순간부터 유출로 봐야 한다며 이 시점을 기준으로 법을 적용해야 한다고 말한다. 하지만 이는 '유출'의 법적 정의와 맞지 않다. 표준 개인정보 보호지침은 '유출'을 '법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대해 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것'으로 정의하고 있다. 따라서 직원에게 피싱 메일을 보낸 시점은 유출 시점이 아니다. 해커가 개인정보 DB에 접근한 시점이 유출 시점이다.

그리고 드라마에서는 아이들 타임아웃을 설정했더라도 해커가 키로깅을 설치하는 순간 타임아웃 설정은 의미가 없다고도 말한다. 이는 네이트·싸이월드 소송의 해킹 기법을 섞은 사실관계인 것으로 보인다. 네이트·싸이월드 소송에서는 DB 관리자의 아이디·패스워드가 키로깅으로 해커에게 획득돼 해커가 실제로 그 아이디·패스워드로 드나들었다는 것이 뒤늦게 밝혀졌기 때문에 인과관계가 부정된 것이었고, 만약 키로깅 프로그램을 설치했더라도 아이디·패스워드가 실제로 탈취된 정황이 발견되지 않는다면 결론이 달라질 수 있다.

게다가 개인정보의 기술·관리적 보호조치 기준 전체를 보면 키로깅 설치만으로 아이들 타임아웃 설정이 무용해진다는 논리는 더욱 맞지 않는다. 이 기준은 개인정보 취급자가 외부에서 개인정보처리시스템에 접속할 때 안전한 인증수단을 적용하도록 한다. 보안토큰이나 일회용 비밀번호(OTP) 같은 것이다. 이 같은 안전한 인증수단을 적용할 때 키로깅만으로 보안을 뚫을 수는 없다. 특히 아이들 타임아웃과 같은 최대 접속 시간 제한 조치는 DB 최초 접속 때와 동일한 절차로 접속할 수 있도록 모든 접속 절차에서 완전히 로그아웃하라는 것이기 때문에 단순히 키로깅으로 고정적인 아이디·패스워드를 탈취한다고 해서 최대 접속시간 제한 조치를 곧바로 무용하게 할 수는 없다.

참고로 인터파크 사건에서 법원은 '최대 접속시간 제한 조치를 하지 않아 해커가 망분리 프로그램과 서버접근제어 프로그램의 접속이 종료되지 않은 관리자 PC를 통해 DB 서버에 접속했으므로 인과관계가 있다'고 판단했다. 즉 현실 재판에서는 인과관계 여부와 상관없이 인과관계도 존재한다고 본 것이다.

인터파크 사건의 소송 경과를 살펴보면 인터파크 측은 '개인정보가 유출되지 않았다. 서버접근제어 프로그램의 최대 접속시간 제한 조치 의무를 위반하지 않았다. 보호조치 위반과 개인정보 유출 사이에 인과관계가 없다. 과징금 부과에 대한 정보통신망법 시행령 제69조의2 등이 무효다. 정액과징금을 부과해야 한다. 과징금 산정이 잘못됐다' 등 많은 주장을 했지만 1심 행정법원, 2심 고등법원, 3심 대법원 공히 원고의 주장을 배척했다.

본래 정보통신망법은 기술적 보호조치 위반과 개인정보 유출 간 인과관계를 요구했으나 해킹으로 인한 개인정보 유출이 빈번하게 발생하고, 개인정보 유출로 말미암아 보이스피싱·전자금융사기·스팸 등의 피해가 누적됨에 따라 2014년 5월 28일 인과관계를 요구하지 않도록 법을 개정했다.

당시 인터파크 사건은 인과관계를 요구하지 않은 정보통신망법 개정 조문이 적용된 최초의 사건이라는 점에서 의의가 있었다.

한편 인터파크 측은 보호조치 위반과 개인정보 유출 간 인과관계를 요구하지 않은 개정 법조문은 위헌이라며 헌법소송 제기도 했다. 그러나 헌법재판소는 지난 5월 “정보통신서비스 제공자가 법률에 명시된 보호 조치를 하지 않은 경우에만 과징금을 부과할 수 있도록 돼 있으므로 정보통신서비스 제공자의 고의·과실을 묻지 않고 과징금이 부과되는 것은 아니다”라고 판시하며 합헌이라고 판단했다. 이 헌재의 결정 내용은 드라마나 드라마 방영 이후 보도된 기사들에서 잘 반영되지 않은 부분이기도 하다.

인터파크 사건에서 다룬 쟁점들은 지금도 관련 소송에서 많이 인용되고 있을 정도로 인터파크 사건은 해킹, 개인정보 유출, 과징금 등 분야에서 매우 의미 있는 사건이었다. 드라마에서 다루기 쉽지 않은 해킹, 개인정보 유출이라는 주제를 다루었다는 점에서 다소 놀랐다. 여하튼 이 드라마가 보이스피싱 등의 피해가 끊이지 않은 현실에서 살고 있는 우리에게 개인정보 보호가 무엇보다 중요하다는 점을 일깨워 주는 계기가 되었으면 하는 바람이다.

김경환 법무법인 민후 대표변호사·최주선 변호사 oalmephaga@minwho.kr

김경환 변호사의 IT법