[Vol.8] 개인정보의 기술적·관리적 보호조치 기준 고시에 관한 법원 판결 동향

Posted September 3, 2019

개인정보의 기술적·관리적 보호조치 기준 고시에 관한 법원 판결 동향

전승재 ([email protected])

법무법인(유한) 바른 변호사

1. 서론

우리나라는 개인정보 보호법 하위의 「개인정보의 안전성 확보조치 기준」, 정보통신망법 하위의 「개인 정보의 기술적ㆍ관리적 보호조치 기준」(이하 통칭하여 ‘고시’) 등을 통해 정보보호 규범을 정부가 선제로 제시하고 있다. 본질에서 이러한 ‘고시’는 위반 시 과태료ㆍ과징금 등 공법적 제재를 부과하기 위한 기준이다. 두 고시의 내용은 아래 표에서 보는 바와 같이 상당한 부분 유사하며, 2018년 11월 15일 정부 주도로 국회에 발의된 개인정보 보호법 및 정보통신망법 개정안이 통과되어 두 법의 개인정보 보호 관련 규정이 통합되면 두 ‘고시’ 또한 하나로 합쳐질 것으로 보인다.

정보보호 규범 현황⁽¹⁾ ⁽²⁾

그런데 ‘고시’가 한 때 민사소송에서 개인정보처리자의 과실판단 기준과 동일시되어 행정입법의 흠결이 피해자 구제의 흠결로 이어진 바 있었는데, 2015년 대법원 판결이 선고된 옥션 해킹 사건이 그것이다. 그러다가 2018년 1월 선고된 싸이월드 해킹 사건의 대법원 판결은 공법상 제재의 기준(‘고시’)과 민사상 과실의 기준이 다르다고 판시하면서 종전의 법리를 바로잡았다. 그러나 그 후에 나온 KT 마이올레 해킹 사건 고등법원 판결은 바로잡힌 법리를 충분히 반영하지 못하는 모습이다. 이하에서 세 건 판결의 내용에 이어 제도적 시사점에 대해 살펴본다.

2. 대법원 2015. 2. 12. 2013다43994 판결(이하 ‘옥션 판결’)의 오해⁽³⁾

옥션 해킹의 발단은, 옥션이 오픈소스 웹서버 소프트웨어(Tomcat)의 관리자 접속 비밀번호 초기값(공공에 알려져 있는 값)을 변경하지 않고 방치하였던 것이었다. 해커는 2008년 1월 WebTools라는 스캐너를 이용해 관리자 비밀번호 초기값을 가지고 접속할 수 있는 웹서버를 발견하고, 이를 거쳐 데이터베이스에 저장된 옥션의 회원정보 1,800만 건을 탈취했다.⁽⁴⁾ 이는 해킹에 대한 전문적 지식이 없더라도 자동화된 해킹 툴만 가지고도 침입을 시도할 수 있었다는 점에서 상당히 초보적인 유형의 공격에 해당한다.

그러나 대법원은 당시 ‘고시’에서 옥션이 위반한 조항을 찾을 수 없다는 이유로 옥션이 피해자들의 손해를 배상할 책임이 없다고 판단했다. 처벌ㆍ행정제재의 영역에서는 근거규정 부재로 인해 처벌의 흠결이 발생하는 것은 ‘부적절’의 문제이지 ‘위법’의 문제는 아니다. 이것은 “법 없이는 형벌 없다”는 원칙으로, 집행기관의 자의적 법 집행을 견제하는 법의 대원칙이다. 그러나 민사상 손해배상의 영역에서는 그렇지 않다. 민사소송에서는 책임의 근거가 법에 규정되어 있지 않더라도 “누가 손해를 감당하여야 하는가”라는 관점에서 접근이 필요하기 때문이다.

판결이유를 살펴보면, 대법원은 사업자가 ①‘고시’ 상의 조치의무를 다하였다면, 특별한 사정이 없는 한⁽⁵⁾ ②‘민사상의 주의의무’도 모두 준수했다고 설시했다(이 논리구조를 도식화 하면 ‘①=②’가 된다). 대법원은 이같이 해석한 이유를 “‘고시’가 해킹 등 침해사고 당시의 기술수준 등을 고려하여 정보통신서비스제공자가 준수해야 할 기술적·관리적 보호조치를 구체적으로 규정하고 있기 때문”이라고 밝혔다. 이는 법원이 보기에 ‘고시’가 워낙 세부적인 사항까지 다루고 있어서 이것이 마치 정보보호에 관한 주의의무의 전체집합 처럼 여겨졌다는 뜻이다.

한편, 현재는 서버 관리자 비밀번호를 주기적으로 변경해야 한다는 규정이 있으나⁽⁶⁾, 2008년 옥션 해킹 당시 ‘고시’에는 그러한 규정이 없었다. 그러나 ‘고시’에 없었다 하더라도 정보보호 업계 인들은 오픈소스 서비스의 초기 비밀번호를 변경하는 정도의 조치는 당연히 해야 한다고 여기고 있었다. 그런데도 법원이 마치 ‘고시’를 보호조치 의무의 전체집합처럼 해석하자, 대법원 판결 선고 약 3개월 후인 2015년 5월 19일 방송통신위원회는 고시가 보호조치 의무의 전체집합이 아니라 ‘최소한의 기준’이라고 개정함으로써 대법원 판결에 대해 반대견해를 표시하였다. 행정안전부 또한 2016년 9월 1일에 같은 취지로 고시를 개정하였다.

3. 대법원 2018. 1. 25. 선고 2015다24904 판결(이하 ‘싸이월드 판결’)의 법해석 교정⁽⁷⁾

SK커뮤니케이션즈(이하 ‘SK컴즈’)는 2011년 7월 APT(Advanced Persistent Threat) 공격이라고 하여, 상당히 방어하기 어려운 해킹을 당해 싸이월드 이용자 정보를 유출 당했다. 해커는 SK컴즈의 전산망을 직접 해킹하기가 까다로워서 그랬는지 제3의 소프트웨어인 ‘알집’의 취약점을 경유하여 싸이월드 DB 서버 담당 직원의 PC에 침투했다. 그리고 담당 직원이 DB 서버에서 로그아웃 하지 않고 퇴근하는 것을 기다려 해당 connection을 탈취해 DB 서버에까지 침투하여 개인정보를 유출했다.

이에 민사소송에서는 SK컴즈가 DB 서버 관리자 접속계정에 최대 접속시간 제한(이하 ‘idle timeout’)을 설정했더라면 해킹을 막을 수 있었는지가 쟁점이 되었다. 참고로 idle timeout 설정의무는 싸이월드 해킹 당시에는 규정이 없었고, 이후 2015년 5월 19일 개정된 방송통신위원회 고시 제4조 제10항⁽⁸⁾에서 새로이 신설되었다.

1심 판결 중 일부는 SK컴즈의 과실이 있다고 보았다. 한편, 항소심 판결은 앞서 본 옥션 대법원 판결을 인용하며 SK컴즈가 ‘해킹 당시’의 방송통신위원회 고시를 준수했다는 이유로 과실이 없다고 판단했다. 이와 달리, 2018년 1월 15일에 선고된 대법원 판결은 SK컴즈가 idle timeout을 설정하지 않은 행위가 ‘과실’에는 해당하지만, 이것과 해킹의 상당인과관계를 인정하기 곤란하여 손해배상책임이 없다고 결론 내렸다.

대법원은 SK컴즈의 과실은 있지만, 이것과 해킹 사이의 상당인과관계가 없다는 취지로 원심 판결이유를 변경했다. 대법원은 기존 옥션 판결 판시사항에 더하여 “이 사건 고시는 정보통신서비스 제공자가 반드시 준수해야 할 최소한의 기준을 정한 것으로 보는 것이 타당하다. 따라서 정보통신서비스 제공자가 ①이 사건 고시에서 정하고 있는 기술적·관리적 보호조치를 다 하였다고 하더라도, ②정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회 통념상으로도 합리적으로 기대 가능한 보호조치를 다 하지 아니한 경우에는 위법행위로 평가될 수 있다.”라는 법리를 추가 설명하여 제시하였다. 이는 ②민사상 주의의무의 범위가 ①법령규정에서 정한 의무에 한정되지 않는다는 불법행위 법의 일반 법리⁽⁹⁾가 정보보호의 영역에서도 마찬가지로 적용됨을 확인한 것이다(이 논리구조를 도식화하면 ‘①≠②’가 된다).

요컨대, 대법원은 종전 옥션 판결에서 ‘고시’(공법적 제재의 기준)와 ‘민사상 주의의무의 규정’을 사실상 동일시하였던 오류를 바로잡은 것이다.

4, 서울고등법원 2018. 10. 12. 선고 2017나2004117 판결(이하 ‘KT 마이올레 해킹 판결’)의 여전한 혼란 상황⁽¹⁰⁾

싸이월드 대법원 판결 선고에도 불구하고, 종전 옥션 판결의 영향으로 인해 일선의 하급심 법원에서는 ①‘처벌받지 않는 기준’과 ②‘민사상 주의의무를 다한 기준’을 동일시하는 혼동을 겪고 있는 것으로 보인다. KT 마이올레 해킹 판결이 그 예이다.

KT 마이올레 홈페이지(my.olleh.com)에서 당해 로그인한 이용자의 특정 월 전화요금 명세서를 조회하는 웹페이지에서 이른바 ‘파라미터 변조’ 취약점이 있어, 당해 이용자에게 대응되는 고유번호 9자리 숫자를 임의의 다른 숫자로 변경하여 이를 ‘파라미터’로 넘겼을 때 그러한 비정상적 접근이 차단되지 아니하고⁽¹¹⁾ 그 임의로 변경한 고유번호에 대응되는 다른 이용자의 요금 명세서 정보(고객명, 주민등록번호, 주소 등 개인정보가 포함된 것)가 유출되었다는 것이다.

이에 대해 방송통신위원회는 KT가 파라미터 변조 취약점을 방지하지 못하여 해킹의 원인을 제공한 행위(이하 ‘이용자 인증 미비’)가 방송통신위원회 고시 제4조 제9항 등에, 특정 IP에서 일일 최대 34만 건의 개인정보가 비정상적으로 대량 조화되었음에도 이를 탐지하지 못한 행위(이하 ‘대량접속 미탐지’)가 동조 제5항에 각각 위반된다고 판단하고 과징금 7,000만 원을 부과하였다.⁽¹²⁾

이에 대해 관련 행정판결⁽¹³⁾은 위 고시 조항은 KT의 행위에 적용되는 것이 아니라는 이유로 KT에 내려진 과징금 등 처분이 위법하다고 판결했다.

먼저 방송통신위원회 고시 제4조 제5항과 관련하여, 해당 규정은 사업자에게 개인정보처리시스템 에 접속한 IP 주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지하는 시스템(침입탐지시스템, Intrusion Detection System) 등을 설치·운영할 의무를 부과하고 있었다. 방송통신위원회는 위 규정에 따라 사업자가 이상 행위에 대응하기 위해 실시간·상시로 접속기록(log) 분석을 해야 한다고 해석했다. 그러나 법원은 방송통신위원회의 해석을 받아들이지 않았다. 위 규정의 ‘시스템 설치’란 침입탐지 기능을 갖춘 상용화되고 인증된 설비를 설치하는 것으로 충분하고, ‘시스템 운영’이란 그러한 설비를 그 통상적인 기능과 용법에 맞게 제대로 운영하는 것을 말하며, 여기에 서버 접속기록을 실시간·상시적으로 분석하는 것까지는 포함될 수 없다는 것이 서울행정법원과 서울고등법원의 해석이었다. 그러면서 KT가 국정원 인증을 받은 침입탐지시스템을 설치·운영한 이상 위 규정상의 의무를 위반했다고 볼 수 없다고 판결했다.

다음으로 방송통신위원회 고시 제4조 제9항과 관련하여, 방송통신위원회는 ‘일반인의 정상적 접근 및 해커의 비정상적 접근을 막론하고 인터넷 홈페이지에 접속할 수 있는 모든 경로를 통하여 개인정보가 유출되지 않도록’ 하는 조치를 해야 한다고 해석했다. 그러나 법원은 “방송통신위원회 고시 제4조 제9항은 기본적으로 ‘사업자의 내부적 요인’, 즉 개인정보취급자의 부주의, 인터넷 홈페이지 운영자나 자료 게시 담당 직원의 과실, 인터넷 홈페이지 개발 시 간과하여 발생한 취약점 등으로 검색엔진 등을 통하여 개인정보가 노출되지 않도록 조치를 하라는 것이고, 나아가 ‘파라미터 변조’와 같은 해킹을 통한 개인정보 누출 방지를 직접 규율하는 것으로 보기는 어렵다.”고 판결했다.

이와 같은 행정법원의 판단은 “법 없으면 형벌도 없다”는 죄형법정주의 원칙 및 “법 없이는 규제할 수 없다”는 규제법정주의 원칙에서 도출된 결론으로서 나름의 타당성이 있다.

문제는 위 원칙은 제재처분에 대한 행정소송에서는 적용되지만, 사인간의 민사소송에서 적용되는 것이 아니라는 것이다. 민사소송에서 ‘손해 분담의 기준’이 ‘고시’로 한정될 경우 피해자 측이 이른바 ‘입법흠결 위험’을 부담하기 때문이다.

그런데도 KT 마이올레 해킹 피해자들이 제기한 민사소송에서 법원은 KT의 과실책임을 부정하고 말았다. 민사법원은 앞서 본 행정사건의 판결 이유를 거의 그대로 차용하면서 “법상 보호조치 의무 위반이 없으면 민사상 주의의무 위반도 없다”고 판단했다. 마이올레 해킹으로 인해 발생한 손해를 KT가 배상해야 하는지 아니면 피해자가 수인해야 하는지 판단을 내릴 때는 ‘업계 평균인’의 관점에서 당해 해킹을 막을 수 있었는지를 가렸어야 한다. 그러한 손해배상 제도는 법 또는 ‘고시’가 미처 마련되지 않은 영역에서도 동작했어야 한다. 다시 말하면, 업계 평균인들이 주의의무를 얼마나 기울이고 있는지는 ‘사전에 입법해 두어야 할 대상’이 아니라 ‘사후에 법원에서 심리할 대상’인데, 그러한 심리가 제대로 이루어지지 못했다.

이는 앞서 본 옥션 판결의 법리적 난점(‘①=②’)이 싸이월드 판결에서 바로잡혔음에도 불구하고(‘①≠②’) 그 바로잡힌 법리가 일선에서 제대로 운영되지 못하고 있음을 드러낸다.

5. 행정청의 전담조직 신설에 따른 국면의 급전환

앞서 본 세 건의 민사판결만 보면 모두 사업자가 손해배상 책임을 방어하는 데 성공하여, 일견 우리 법원이 사업자에게 지나치게 관대한 것처럼 보인다. 그러나 최근 정보통신망법의 주부 부처인 방송통신위원회가 전담조직을 신설하고⁽¹⁴⁾ 적극적으로 법 집행을 함에 따라 국면이 급격히 전환되고 있다. 앞서 본 세 건의 판결을 포함하여, 역대 해킹으로 인한 개인정보 유출 소송 경과를 위 표에 정리해 보면(승/패는 사업자 기준으로 기재), 첫 행정사건인 2014년 KT 마이올레 사건에서는 KT가 책임을 면하는 데 성공했지만, 그 후 판결이 내려진 뽐뿌, 인터파크, 알툴바 사건은 모두 사업자가 패소하여 법적 책임을 부담하게 되었다.

해킹으로 인한 개인정보 유출 소송 경과

행정청의 과징금 처분이 내려졌다는 것은 그 구성요건인 ‘고시’ 위반 사실 및 ‘개인정보 유출 사실’이 국가기관에 의해 대외적으로 확인되었다는 의미이다. 그러한 행정처분의 존재로 인해 민사소송에서도 이른바 당연 과실(negligence per se)이 인정될 수밖에 없다. 개인정보 유출 사건은 통상 피해자의 수가 매우 많고, 법원은 유출된 개인정보가 유포되기 전 범인의 검거로 인해 완전히 회수되지 아니하는 한⁽¹⁵⁾ 피해자 인당 7~20만 원⁽¹⁶⁾의 정신적 손해배상을 인정하는 추세이다. 예컨대 KT 마이올레 사건의 피해자 중 1,000만 명이 인당 10만 원씩을 청구한다면 총액이 1조 원에 이르게 된다.⁽¹⁷⁾ 그 위험이 자칫 기업을 도산시킬 정도로 크기 때문에, 사업자로서는 과징금 액수를 불문하고 온 힘을 다해 행정처분을 취소시킴으로써 자신의 행위가 위법하지 않음을 보여야 하는 처지다.

다만, 사업자의 입장에서 행정소송에서 승소하기는 상당히 어렵다. 통계청에 따르면 2009년~2018년 행정소송에서 국가가 패소한 비율은 연간 최저 9.8%에서 최고 14.2%에 불과하다.⁽¹⁸⁾

정보보호 영역에서도 예외가 아니다. 위 표에서 본 바와 같이, 첫 과징금 사건인 KT 마이올레 사건에서는 예외적으로 행정처분이 취소되었지만, 그 후 사건부터는 사업자가 행정소송에서 승소한 사례가 아직 없다. 예컨대 행정청의 과징금 부과 전 APT 공격을 당한 싸이월드는 민사소송 결과 손해배상책임이 없다고 판단되었다. 반면, 거의 같은 유형의 APT 공격을 당한 인터파크는 행정청으로부터 과징금 처분을 부과 받은 후 싸이월드 대법원 판례를 인용하며 다투었지만 서울행정법원에서 법위반책임이 인정되었다.⁽¹⁹⁾

즉, 동종의 해킹을 당한 두 사건이 행정청의 개입 여부에 따라 결론이 갈리고 있는 셈이다. 후속 사건에서도 행정청의 치밀해진 법 집행으로 인해 사업자가 법 위반책임을 면하기는 어려울 것으로 예상한다.

한편, 아직은 이러한 국면 전환을 국민이 실감하지 못하고 있다. 해킹을 비롯한 개인정보 유출 사건에서 정보주체의 손해배상청구소송 참여율은 현재로써 낮은 편이고, 민사소송에 대한 기업들의 대비도 그다지 적극적이지 않다. 그러나 이제 행정청이 과징금을 부과하기만 하면 정보유출 피해자로서는 민사소송 원고 명단에 이름만 올리면 그 행정처분의 존재만으로 사업자의 과실을 손쉽게 입증하여 위자료를 배상받을 수 있도록 상황이 바뀌었는데, 국민이 이러한 현실을 모른 채 소송 참여에 계속 무관심할 것이라고 단정할 수는 없다.

요컨대 장래에 발생할 보안 사고에서는 기업의 과실이 비교적 가벼움에도 도산에 이르게 할 수 있는 거액의 손해배상책임이 부과될 여지가 있다. 산업계가 그러한 충격을 받기 전에 공법적 제재가 과잉 집행되지 않도록 그 구성요건인 ‘고시’를 그야말로 ‘최소한의 기준’으로서 운영해야 할 필요가 있다.

6. 손해배상 특례조항상 입증책임 전환규정의 개정 필요성

비록 지금은 일선에서 혼란을 겪고 있으나 싸이월드 대법원 판결 법리(‘①≠ ②’)가 조만간 보편화될 것으로 예상헌다. 만약 종전 옥션 판결 법리(‘①=②’)에 계속 머무르면 피해자 구제의 흠결을 방지하기 위해 ‘고시’가 지속적으로 상향되어 과잉규제 상황이 초래될 수 있었다는 점에서, 싸이월드 대법원 판결은 제도개선의 시작점으로 평가할만하다.

이 글의 견해에 따라 ‘고시’를 ‘최소한의 기준’으로 운영하려면, 그 전제조건으로서 민사재판에서 정부의 ‘고시’에만 의존하지 아니하고 보안 사고를 유발한 사업자에게 과실 책임을 추궁할 수 있는 환경이 조성 되어야 한다. 그래야 과거 옥션 사건과 같은 피해자 구제의 흠결이 발생하지 않기 때문이다. 이를 위해 시급히 개정되어야 하는 규정이 바로 현행법상 손해배상 특례조항 중 ‘입증책임 전환규정’이다.

개인정보 보호법 제39조 제1항은 본문에서 “정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다.”고, 단서에서 “이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.”고 정하고 있다. 정보통신망법 제32조 제1항 또한 거의 같은 구조를 취한다. 이는 일견 입증책임 전환규정의 형식을 취하고 있으며, 유관부처 또한 이를 입증책임 전환규정으로 해설한다.⁽²⁰⁾

그러나 이는 입증책임 전환규정으로 기능하지 못하고 있다. 위 특칙조항 본문에서 원고가 입증하도록 한 ‘이 법을 위반한 행위’란 ‘고시’를 위반한 행위를 일컫는다. 예컨대 서버 관리자 패스워드 초기값을 변경 하지 아니한 행위, idle timeout을 설정하지 아니한 행위, 암호화를 하지 않은 행위 등이다. ‘고시’ 위반 사실이 입증된다면 이는 이른바 당연과실(negligence per se)의 영역으로 분류되며, 민사불법행위에 관한 일반법인 민법 제750조에 따른 ‘과실’ 입증도 당연히 되는 것이다. 따라서 위 특칙조항 단서에서 ‘고시’ 위반행위에 대한 고의ㆍ과실을 사업자에게 항변하도록 한 것은 무익한 규정이다.⁽²¹⁾ 예컨대 사업자가 관리자 패스워드를 변경하지 않았다면 그 자체가 고의ㆍ과실이지, 이와 별도로 ‘비록 관리자 패스워드를 변경 하지 못했지만 이에 대한 고의ㆍ과실은 없었다’는 항변을 할 여지가 없기 때문이다.

요컨대, 개인정보 유출에 관한 손해배상 특칙조항 적용범위를 ‘이 법을 위반한 행위’에 한정하여서는 입증책임 전환의 입법목적을 결코 달성할 수 없다. 이 경우 법령 이외에 ‘사회통념상 요구되는 주의의무의 존재’는 피해자인 원고가 여전히 입증해야 하는데, 이 부분 입증이 현실적으로 더 어렵기 때문이다. 입증책임 전환의 법률효과를 달성하려면 위 특칙조항 본문을 “개인정보 유출로 인해 손해를 입으면 손해배상을 청구할 수 있다”는 형태로 개정해 모든 개인정보 유출 사안을 적용대상으로 삼아야 한다. 참고로 최근 입법된 300만 원 이하 법정손해배상 규정⁽²²⁾) ⁽²³⁾ 및 2018. 11. 15. 정부 주도로 국회에 발의된 개인정보 보호법 개정안의 제39조⁽²⁴⁾에도 위 입증책임 전환규정을 바로잡는 내용은 포함되어 있지 않다.

7. 결론

‘고시’의 기준이 높아지고 지엽적인 보호조치까지 들어가게 된 데에는 두 가지 배경이 있었다.

첫째, 과거 이용자와 사업자 간 민사소송만으로 규율되던 시절 이용자 구제가 단 한 건도 실현되지 못하자(심지어 옥션은 중과실에도 불구하고 손해배상책임이 없다고 판단되었다), 여론은 민사소송의 한계를 인식하고는 이른바 ‘정부 책임론’을 제기하였다. 이에 정부는 조사 및 제재권한을 집중시킨 전담조직을 신설함으로써 법 집행에 강한 동력을 부여하였다.

둘째, 옥션 대법원 판결 및 그 영향을 받은 하급심 판결에서 ‘고시’(공법적 책임의 기준)와 민사상 주의의무의 기준을 서로 동일시함으로 인해 피해자가 ‘입법 흠결’ 때문에 배상을 받지 못한 사례가 발생하자, 정부로서는 매번 해킹 사고가 터질 때마다 재발방지대책으로 ‘고시’를 개정하여 보호조치의무를 강화해야 하는 상황이 되었다. 예컨대 옥션 해킹 후 개인정보 취급자의 비밀번호의 주기적 변경의무가 신설되었고⁽²⁵⁾, 싸이월드 해킹 후 최대 접속시간 제한(idle timeout) ⁽²⁶⁾및 망분리⁽²⁷⁾ 규정이 신설되었으며, KT 마이올레 해킹 후 방송통신위원회 고시 해설서가 개정되어 ‘사업자의 내부적 요인’ 뿐만 아니라 ‘외부 공격’으로 인한 홈페이지 정보유출까지 방지할 것을 요구하게 되었다. 이러한 경향이 누적되면 자칫 과잉규제로 기울지 않을지 우려되는 상황이다.

첫 번째 원인을 해소하려면, 법원이 민사소송에서 해킹을 당한 사업자의 주의의무 위반 여부를 충실히 심리할 수 있도록 기술적 전문성을 보완하는 것이 전제되어야 한다. 전문심리위원이란 해당 소송절차에서 소송관계를 분명하게 하거나 소송절차를 원활하게 진행하기 위하여 설명 또는 의견을 제시하도록 법원이 지정한 특정 분야 전문가로서(민사소송법 제164조의2)⁽²⁸⁾, 기술적 쟁점이 있는 사건에서 재판부의 쟁점 정리 및 원ㆍ피고 주장의 기술적 타당성 검증 등에 도움을 줄 수 있다. 전문심리위원 제도는 건설 및 의료 소송에서는 활성화된 편이나 정보보호 및 소프트웨어 분야에서는 그리 활성화되어 있지 못하다. 만약 전문심리위원 후보자 풀(pool)이 협소한 것이 실무상의 애로사항이라면, 행정부 산하기관의 정보보호 전문 인력을 선별하여 법원의 전문심리위원 후보자 명단에 등재하는 방안 등을 고려할 수 있을 것이다.

두 번째 원인을 해소하려면, ①‘공법적 제재의 기준’과 ②‘민사상 주의의무 위반의 기준’을 이원화(二元化)하는 법리를 확립해야 한다. ①과징금ㆍ형사 처벌 구성요건을 정한 ‘고시’는 예컨대 접속기록 미보존⁽²⁹⁾, 소프트웨어 업데이트⁽³⁰⁾ 등 그야말로 ‘최소한의 기준’만 남기고 나머지 지엽적인 규정은 삭제하는 것이 바람직하다. 특히 현행 ‘개인정보 외부유출 방지’ 규정(방송통신위원회 고시 제4조 제9항)은 자칫 사고가 터졌다는 결과에만 주목하여 사업자에게 ‘결과책임’을 묻는 규정으로 오남용 되거나 행정청의 자의적 법 집행을 야기할 소지가 크기 때문에 삭제 필요성이 크다. ②그리고 민사상 과실여부 판단은 명문화된 법령규정에만 매몰되지 않고 법원의 유연한 판단에 맡기는 것이 현대의 기술 발전에 대응하는 길이다.

다시 말하면, ①최소한의 기준조차 지키지 않아 해킹사고가 터진 경우 법령상 의무 위반(negligence per se)으로 규율하여 공권력에 의한 제재 및 민사상 손해배상이 모두 이루어지도록 하는 한편, ②그렇게까지 명백한 위법에 이르지 아니한 사례는 공권력의 개입 없이 민사소송만으로 규율하여 개별 사안에서 ‘업계에 보편화된 주의의무의 정도’를 심리할 여지를 열어둠으로써 구체적 타당성에 부합하는 결론이 내려질 수 있도록 해야 한다.

이와 관련하여, 후자의 사례에서 일반 소비자 지위에 있는 정보주체들이 민사소송에서 ‘업계에 보편화한 주의의무의 정도’를 입증하는 데 곤란을 겪지 않도록 현행법상 입증 책임 전환규정의 입법오류를 바로잡아야 한다.

결론적으로, i) ‘고시’를 그야말로 최소한의 기준으로 개편하여 국가후견주의적 규제 및 행정청의 과잉 개입을 지양할 것, ii) 이 경우 피해자 구제의 흠결이 없도록 민사소송에서 ‘고시’에 한정되지 아니하고 보안 사고를 초래한 사업자의 주의의무 위반 여부를 판단할 수 있도록 법원의 심리 역량을 강화할 것, iii) 현행 손해배상 특례규정상 입증책임 전환규정의 입법오류를 바로잡을 것, 이상 세 가지가 본고에서 제안하는 정책 방향이다.

현재 소프트웨어 분야에서는 개인정보 관련 법률에서만 공법적 제재 근거규정을 마련하고 있다. 한편, 향후 소프트웨어의 하자, 취약점, 오작동 등으로 인해 개인정보보다 더 가치 있는 법익이 침해되었을 때 (예컨대 비트코인이 탈취되거나 자율주행차가 사고를 일으켰을 때)에는 현재로서는 공법적 제재 근거 규정이 없어 손해배상청구 소송으로 규율될 수밖에 없지만(마치 옥션 등, 초기 해킹 사건에서 행정제재ㆍ형사처벌 없이 민사소송만 진행되었듯), 그러한 영역에서도 조만간 특별법이 입법되어 공법적 제재의 대상이 될 것이며 여기에서 현재 개인정보 관련 보안 사고에서 축적되고 있는 법리 및 선례가 참고 될 것으로 예상한다. 사건화가 먼저 이루어진 개인정보의 기술적ㆍ관리적 보호조치 분야에서 충분한 연구와 논의를 해 두어야만, 장래 우리 생활이 소프트웨어 기술에 더 의존하게 되었을 때 합리적인 분쟁 해결이 가능할 것이다.

본 원고는 KISA Report에서 발췌된 것으로 한국인터넷진흥원 홈페이지(https://www.kisa.or.kr/public/library/report_List.jsp)에서도 확인하실 수 있습니다.

KISA Report에 실린 내용은 필자의 개인적 견해이므로, 한국인터넷진흥원의 공식 견해와 다를 수 있습니다.

KISA Report의 내용은 무단 전재를 금하며, 가공 또는 인용할 경우 반드시 [한국인터넷진흥원,KISA Report]라고 출처를 밝혀주시기 바랍니다.

[ + ]

1.	⇡	침입탐지시스템(Intrusion Detection System, IDS) 및 침입방지시스템(Intrusion Prevention System, IPS)을 의미한다. 그 동작 원리로는, 기존에 알려진 공격 패턴을 데이터베이스에 비교용으로 저장해 두었다가 이와 유사한 접속이 들어오면 이를 악의적인 공격으로 식별하는 방식(signature-based), 서버에 남은 로그 등을 통계적으로 분석하여 서버의 일상적인 동작 양상과 양적ㆍ질적으로 크게 상이한 방식의 접속이 발생하면 이를 악의적인 공격으로 추정하고 관리자에게 알려주는 방식(anomaly-based) 등이 있다.
2.	⇡	방송통신위원회 고시상 망분리는 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만 명 이상이거나 정보통신서비스 부문 전년도 매출액 100억 원 이상인 정보통신서비스 제공자등에 대해서만 의무화되어 있다.
3.	⇡	옥션 판결에 대한 상세한 분석은 전승재, 권헌영, “해킹을 방지하지 못한 사업자의 법적 책임 판단기준의 문제점”, 정보법학 제21권 제2호, 2017, 137~139면 참조.
4.	⇡	관련 대법원 판결이유를 발췌하면 다음과 같다. “2008. 1. 초경 피고 옥션의 서버에 해킹사고가 발생하였는데, 경찰수사결과에 의하면 위 해킹사고는 중국인 해커로 추정되는 소외인 등이 2008. 1. 3.경 피고 옥션의 웹 서버 중 하나인 이노믹스 서버에 설치된 웹 어플리케이션 서버인 톰캣 서버에 초기설정상태인 아이디와 비밀번호로 접속하여 위 톰캣 서버의 관리자 페이지에 ‘job.war’라는 백도어 프로그램을 올렸고, 각종 해킹기법을 통해 이노믹스 서버에 침입하고 이 사건 데이터베이스 서버의 관리자 아이디와 암호화된 비밀번호를 알아낸 다음, 2008. 1. 4.경부터 2008. 1. 8.경까지 네 차례에 걸쳐 이 사건 데이터베이스 서버에 저장되어 있던 회원의 이름, 주민등록번호 등 피고 옥션의 회원정보를 누출한 것으로 추정된다.”
5.	⇡	참고로 뒤에서 보는 싸이월드 판결은 ‘①≠②’라는 법리를 설시하며 옥션 판결의 견해를 사실상 변경하였다. 그럼에도 대법원이 옥션 판결을 파기하지 않은 이유는 여기서의 ‘특별한 사정’을 싸이월드 판결에서 구체화한 것이라고 보았기 때문이라고 사료된다.
6.	⇡	방송통신위원회 고시 제4조(접근통제) ⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용·운용하여야 한다. 3.비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경
7.	⇡	싸이월드 판결에 대한 상세한 분석은 전승재, 권헌영, “개인정보의 기술적·관리적 보호조치에 대한 공적집행과 사적집행”, 경제규제와 법 제11권 제2호, 2018, 276~278면 참조.
8.	⇡	방송통신위원회 고시 제4조(접근통제) ⑩ 정보통신서비스 제공자 등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취하여야 한다.
9.	⇡	단속법규를 지켰다고 해서 과실이 없다고 단정할 수 없고, 단속법규 이외에 이를 포함하는 일반적인 주의의무가 있어 그에 위반하면 과실이 있는 것으로 된다. 박준서,「주석 민법, 채권각칙(6)」, 한국사법행정학회, 2003, 115면.
10.	⇡	KT 마이올레 판결에 대한 상세한 분석은 전승재, 권헌영, “개인정보의 기술적·관리적 보호조치에 대한 공적집행과 사적집행”, 경제규제와 법 제11권 제2호, 2018, 278~282면 참조.
11.	⇡	이러한 ‘파라미터 변조’ 공격은 입력된 파라미터가 당해 로그인한 이용자 본인의 것이 맞는지를 비교하는 ‘if문’을 웹페이지 프로그램에 삽입하는 정도로 쉽게 차단할 수 있었다.
12.	⇡	방송통신위원회 2014. 6. 26.자 보도자료 (https://kcc.go.kr/download.do?fileSeq=39025).
13.	⇡	서울고등법원 2018. 8. 24. 선고 2016누64533 판결.
14.	⇡	KT 마이올레 사건의 경우 방송통신위원회의 기존 조직인 ‘개인정보보호윤리과’에서 사건을 처리하였으나, 두 번째인 뽐뿌 사건부터는 전담조직인 ‘개인정보보호조사팀’(2017. 2.부터 ‘개인정보침해조사과’로 승격됨)에서 사건을 처리하고 있다.
15.	⇡	대법원 2012. 12. 26. 선고 2011다59834 판결(피고 지에스칼텍스).
16.	⇡	위자료 7만 원이 인정된 사례로 서울고등법원 2017. 11. 30. 선고 2016나2022484 판결(피고 롯데카드); 위자료 10만 원이 인정된 사례로 서울고등법원 2007. 1. 26. 선고 2006나12182 판결(피고 엔씨소프트) 및 서울고등법원 2017. 11. 30. 선고 2016나2022484 판결(피고 KB국민카드, 농협은행); 위자료 20만 원이 인정된 사례로 서울고등법원 2007. 11. 27. 선고 2007나33059 판결(피고 국민은행).
17.	⇡	한편, 우리나라에서는 미국식 집단소송(class action) 제도가 도입되어 있지 않아 원고로서 소송을 제기한 소비자만 배상을 받을 수 있는데, 역대 개인정보 유출사건 중 가장 많은 원고가 참여했던 소송은 신용카드 개인정보유출 사건으로 전국적으로 약 100만 명이 참여한 것으로 추산된다. 다른 사건의 경우 피해자들의 소송 제기 비율이 그리 높지 않았다. 그러나 장래에도 피해자들의 소송 참여 비율이 계속 낮을지, 다른 변화의 계기가 있을지는 지켜보아야 한다.
18.	⇡	e-나라지표(https://www.index.go.kr/potal/stts/idxMain/selectPoSttsIdxMainPrint.do?idx_cd=1724).
19.	⇡	서울행정법원 2018. 7. 5. 선고 2017구합53156 판결. 이에 대한 평석은 전승재, 권헌영, “개인정보의 기술적· 관리적 보호조치에 대한 공적집행과 사적집행”, 경제규제와 법 제11권 제2호, 2018, 282~284면 참조.
20.	⇡	행정자치부, 「개인정보보호 법령 및 지침ㆍ고시 해설」, 2016, 330면.
21.	⇡	이동진, “개정 정보통신망법 제32조의2의 법정손해배상 해석론과 입법론”, 서울대학교 법학 제55권 제4호, 2014, 378~379면; 김경환, “개인정보 손해배상제도의 문제점과 개선방향”(보안뉴스 2013. 5. 22.자 기사 http://www.boannews.com/media/news_print.asp?idx=36183).
22.	⇡	5. 28. 법률 제12681호로 개정된 정보통신망법 제32조의2에서 법정손해배상 규정이 입법되었으나, 여기에서도 ‘이 장의 규정 위반’만을 그 적용 대상으로 한정하고 있다. 14. 제32조의2(법정손해배상의 청구) ① 이용자는 다음 각 호의 모두에 해당하는 경우에는 대통령령으로 정하는 기간 내에 정보통신서비스 제공자 등에게 제32조에 따른 손해배상을 청구하는 대신 300만 원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다.이 경우 해당 정보통신서비스 제공자 등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. 1. 정보통신서비스 제공자등이 고의 또는 과실로 이 장의 규정을 위반한 경우 2. 개인정보가 분실·도난·누출된 경우 (註: 참고로 현행 법률인 2016. 3. 22. 개정 법률 제14080호에서는 ‘누출’ 부분이 ‘유출·위조·변조 또는 훼손’으로 개정되어 있다.
23.	⇡	2015.7. 24. 법률 제13423호로 개정된 개인정보 보호법 제39조의2에서 법정손해배상 규정이 입법되었다. 그런데 그 본문에서는 마치 ‘고의ㆍ과실’을 정보주체의 입증영역처럼 규정하고 있고, 단서에서는 마치 이것이 사업자의 항변사항처럼 규정하고 있어 서로 상충된다. 따라서 본문 상 요건 중 ‘개인정보처리자의 고의 또는 과실로 인하여’ 부분을 삭제할 필요가 있다. 2015. 제39조의2(법정손해배상의 청구) ① 제39조제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
24.	⇡	2018.11. 15.자 인재근 의원 대표발의 개인정보 보호법 개정안(의안번호 2016621)에는 개인정보 보호법 제39조에 관한 개정안이 포함되어 있지 않다.
25.	⇡	2008.8. 7. 개정 방송통신위원회 고시 제2009-21호. 참고로 해킹에 관한 과징금 부과 근거조항 또한 옥션 사고 후인 2008. 6. 13. 법률 제9119호로 개정된 정보통신망법에서 신설되었다.
26.	⇡	2015.5. 19. 개정 방송통신위원회 고시 제2015-3호.
27.	⇡	2012.8. 23. 개정 방송통신위원회 고시 제2012-50호. 관리자 PC의 외부망 분리 의무화 추진배경에 관하여는, 2011. 8. 2.자 방송통신위원회 보도자료, “인터넷 개인정보보호 체계, 전면 강화된다”, 4면.
28.	⇡	전문심리위원 제도의 운영 현황에 대하여는, 사법정책연구원, 「전문가 감정 및 전문심리위원 제도의 개선 방안에 관한 연구」, 사법정책연구원 연구총서, 2016 참조.
29.	⇡	접속기록(log)가 보존되어 있지 않으면 해킹 원인에 대한 사실조사 자체가 불가능해지므로, 그 미보존 또는 은닉 행위에 대하여는 공법적 제재를 부과할만하다.
30.	⇡	운영체제, 서버 소프트웨어, 백신프로그램 등의 제조사가 내놓는 보안 패치(Security Patch)를 제 때 적용하는 것은 기술적 보호조치의 기본 중의 기본이다.