안녕하세요 이중불꽃입니다.
이번 KT의 고객 개인정보 유출 사건은, 지난 1월달에 발생한 카드3사의 그것과 함께 현재 우리 기업들의 보안의식 결여가 얼마나 심각한지 여실히 보여주고 있습니다.
계속되는 고객 개인정보 유출은 범죄피해에 악용될 우려는 차치하고서라도 , 엄청난 사회적 혼란과 경제적 손실을 야기시키고 있음을 부인할 수 없을것입니다.
이러함에도 불구하고 시장에서 상당한 인지도가 있는 회사들이, 해당사가 관리하는 고객 정보를 반복적으로 유출 당하고 있는것은 여러 요인이 있을수 있겠지만, 피해고객들과의 법적 소송에서 고객 정보를 유출시킨 회사의 손을 들어주는 기존의 판결도 무감각한 보안의식에 일정부분 작용을 한 것 같습니다.
만약 이전 유사 사건의 소송에서, 고객 개인정보 유출에 대하여 책임이 있는 회사에게 그들의 고의 과실에 상응하는 책임을 엄중하게 지우는 판결이 나왔더라면, 국민들에게 불만과 불안을 함께 안겨주고 있는 최근 일련의 사건들은 어느 정도 예방이 되지 않았을까 조심스럽게 생각해봅니다.
우리가 잘알고 있다시피 2008년 약14만명이 참여했었던 옥션의 개인정보 유출로 인한 집단소송은, 2년여의 지루한 법정 다툼 끝에 결국 옥션의 배상의무 없음으로 귀결되기도 했었습니다. 매번 되풀이되는 기업의 고객 개인정보 유출과 그에 분노한 고객들의 소송은, 상식적인 일반인들의 생각과 사법부의 법적 판단이 사뭇 달라서, 법적 지식이 없는 피해 당사자들은 계속 당하는 불법행위에도 불구하고 어디 하소연 할 곳 조차 없는것이 현실이기도 합니다.
개인적으로는, 2008년 옥션사건부터 지난 1월의 카드3사 그리고 이번에 발생한 KT까지 개인정보의 유출을 고스란히 당한 가중적 피해자이기도 합니다.그래서 실망스런 사법부의 법적 판단에 화가나고, 정부의 역할에 대하여 선언적이고 임의적인 규정만 잔뜩 집어넣은 현행 관련 법에 짜증이 납니다.
집단소송에 참여를 하든 개별적으로 소송을 하든, 그 구체적인 법적 진행은 전문가인 변호사의 조력을 받으면 될 것입니다.
하지만, 적어도 '내'가 주체가 되는 소송에서 어떤식으로 내가 피해를 입었고 또 어떤 사유가 재판의 다툼이 될 것인지 정도는 알아두는것이 피해자의 당연한 의무가 아닐까요?
그런 관점에서, '개인정보 보호법'과 '정보통신망 이용촉진 및 정보보호등에 관한 법률'을 중심으로 제 개인적 생각들을 대략적으로 말씀드리겠습니다.
개인정보를 보호하는 법으로는, '개인정보보호법'과 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'이 있습니다.
물론 '신용정보의 이용 및 보호에 관한 법률'도 있지만, 포스팅의 주제에서 너무 벗어날 염려가 있기 때문에 여기서는 언급을 하지 않겠습니다.
'개인정보보호법'이 안전행정부가 관장하는 일반법적인 성질을 가진 것이라면, '정보통신망 이용촉진 및 정보보호 등에 관한 법률'은 방송통신위원회가 관장하는 특별법적인 성질을 가지고 있습니다.
최근에는 위의 두 법을 일원화 시켜서, 국민의 개인정보를 보호함에 있어서 그 효율성을 찾고자 하는 움직임이 국회로부터 나오고 있기도 한데요. 이미 일부 개정된 '개인정보보호법'은 2014년 8월 7일부터 시행될 예정이기도 합니다.
따라서 향후에는 개인의 정보가 지금보다는는 더 보호되는 방향으로 법적 장치가 마련될것으로 예상됩니다.
그럼 먼저, 이번 개인 정보유출과 관련하여 '개인정보 보호법'에 있는 해당 조항들을 살펴 보겠습니다.
제29조(안전조치의무)개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.
개인정보처리자는 쉽게 말해서, 해당 회사의 개인정보 담당자를 지칭하는것입니다. 포괄적으로 말한다면 해당회사일 수도 있는것이고요. 따라서 개인정보에 대한 안전조치의무가 KT에게는 강제적으로 있는 것입니다.
여기서의 다툼은, 아마도 기술적·관리적 및 물리적 조치를 KT가 다했냐가 될 것입니다. 언론에 보도가 된 것 처럼 이번 해킹 사건은, 파로스 프로그램이라는 툴을 범인들이 사용해서 KT웹 페이지의 취약한 헛점을 파고든 경우였는데요. (자세한것은 제 포스팅을 참조해주시고 아래에서 다시 서술하겠습니다)
파로스 프로그램에 의한 KT홈페이지의 취약성은 전문가가 아니라도 충분히 파악할 수 있었고, 따라서 적극적으로 그 취약성을 보완 수정하지 못한 KT에게 책임을 물을수 있을 것입니다.
지난번 카드 3사의 정보유출의 피해를 입은 분들은, 짧게는 일주일에서 길게는 이주일이 지난 후에 카드사로부터 정보 유출에 대한 서면 통지서를 받았을 것입니다. 이번에도 역시 그런 통지서를 받게 될 것인데요. 이와 관련한 조문이 '개인정보 보호법' 제34조 1항이 되겠습니다.
제34조(개인정보 유출 통지 등)① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
하지만 여기서도 현실성없는 탁상행정과 우리 입법부의 섬세하지 못한 입법 테크닉을 언급하지 않을 수가 없을것 같습니다. 지난 1월에 발생한 카드3사의 정보유출과 이번 KT의 경우처럼, 개인정보 유출이 온라인에서 한번 알려지면 실시간으로 해당 회사의 홈페이지에서 본인의 유출정보를 확인하고자 하는 사람들이 대부분입니다.
물론 온라인 접근이 용의치 못한 분들에게는 해당 조문이 최소한의 보호적 규정임을 모르는바가 아니지만, 일주일이나 이주일 후의 서면 통지는 종이값이 아까울 정도로 무의미하고 실생활과는 상당히 유리된 것임을 부정할 수 없을 것입니다.
통지의 기간은 대통령령으로 정하고 있는데요. '개인정보 보호법 시행령' 제40조가 그것인데, 막상 그 규정속에서도 '지체없이'라는 추상적 단어만 명시되어 있을뿐입니다.
정보유출 사고 직후 KT는, 본인의 정보가 얼마나 유출되었는지 확인하려는 수많은 고객들의 고통을 무시한채, 변변한 확인 사이트 조차 준비하지 않는 무성의함을 보여주었습니다.(당시 국내 포탈 사이트 실시간 검색어에 "KT유출 정보조회"가 오랜시간 상위권을 유지했지만, 인터넷 사용자들에게는 아무런 도움이 되지 못했습니다) 이런 상황인데도 '개인정보 보호법' 제34조 1항과 '개인정보 보호법 시행령' 제40조는 개정이 되지 않고 같은 모습으로 여전히 유효합니다.
이제 소송의 직접적인 목적이자 다툼의 핵심이 되는 조문입니다. KT에게 정보유출로 인한 손해배상의 책임을 물을수 있는 근거가 되는 규정인데요. 바로 '개인정보 보호법' 제39조입니다
제39조(손해배상 책임)① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
② 개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리하지 아니한 경우에는 개인정보의 분실·도난·유출·변조 또는 훼손으로 인한 손해배상책임을 감경받을 수 있다.
많지는않지만 그동안 개인정보 유출과 관련된 소송에서, 우리의 사법부가 거의 일관되게 유지한 것 중 하나가, 정보유출을 초래한 해당사의 고의 과실을 아주 까다롭게 보고 있다는 것입니다. 역으로 말하면, 피해자인 우리가 아무리 KT의 고의 과실을 주장하여도 쉽게 받아들여지지 않을 가능성이 크다는 사실입니다.
하지만, 희망적인 판례도 있습니다. 2013년 2월 15일 서울 서부지법에서 나온 판결이 그것인데요.
여기서는 당시의 사건 판례를 PT파일로 잘 정리한, 소만사 최일훈 부사장님의 자료를 일부 캡쳐해서 올리겠습니다(본인의 동의없이 올리는 점 양해 부탁드리겠습니다)
<그림을 클릭하시면 확대된 그림을 보실수 있습니다>
위의 그림에서 볼 수 있듯이, 피해자들이 승소할 수 있었던것은 해킹에 의해 정보 유출을 당한 해당사에게 과실 책임을 우리 법원이 인정하였기 때문입니다. 물론 이번 KT사건과는 해킹 방법이 다르기 때문에 Case by Case인 판례의 특성을 감안한다면, 법원의 긍정적인 신호를 마냥 기대하는것이 희망적이지 않을수도 있습니다.
하지만, 언론에 의해 알려진것처럼 파로스 프로그램에 의한 KT웹서버의 취약성이 실제로 존재했었다면, 이번 소송에서는 그 부분을 집중적으로 파고 들어야 할 것입니다. 이미 제가 포스팅 한 것 처럼, 전문가 집단이 아니더라도 인터넷에서 충분히 다운받아 사용할 있는 웹 프록시 프로그램이 파로스 입니다.
따라서, 그런 대중적인 프로그램에 스캔될 정도의 취약성이 KT웹에 있었다면, 정보유출과 관련하여 기술적으로 충분히 예방조치를 취했다거나 아니면 해커의 기술이 너무나도 높아서 KT의 기술력으로서는 도저히 방어하기 불가능했다는 사실을 명백하게 입증을 해야 할 것입니다.
만약 KT가 그 입증을 하지 못한다면, 고의 과실상의 책임에서 절대로 자유로울 수가 없을것 입니다.
앞서 언급했듯이 '정보통신망 이용촉진 및 정보보호등에 관한 법률' 또한 개인의 정보 보호를 위해 존재하고 있는 법인데요.
이 법은 주로 우리의 인터넷 환경에서의 개인정보 보호와 상당히 관련이 깊은 법이기도 합니다.
네이버나 다음과 같은 포탈 사이트에서 비밀번호를 주기적으로 변경하라고 고지하는것을 심심찮게 보게 되는데요 그 근거가 되는 법이 바로 이 법 이기도 합니다(제28조 2항).
개인의 정보가 누출되었을 때는, '개인정보 보호법'에서의 그것과 마찬가지로 고객에게 지체없이 통지하여야 하고 또 방송통신위원회에도 신고를 해야한다는 규정등을 비롯하여 내용상 상당부분 '개인정보 보호법'과 중복되는것이 많습니다.
이런 이유는, 안전행정부가 관장하는 '개인정보 보호법'과 방송통신위원회가 관장하는 '정보통신망 이용촉진 및 정보보호등에 관한 법률' 이 이원화 되었기 때문인데요.
개인의 정보보호라는 관점만을 놓고 본다면, 이원화된 현재의 두 법이 국민들에게 어떤 법적 실익을 가져다 주는지 의문이 들기도 합니다.
그리고 이 법은 개인정보의 보호라는 그 입법적 취지를 생각해본다면 강제성이 더욱 필요한 법임에도 불구하고, 정보통신서비스 제공자에게 미래창조과학부 장관이 권고하는 규정을 두는 등(제45조), 법 기술적인 측면에서도 다소 아쉬움이 남습니다.
어쨋든,1200만명의 정보를 훔친 KT사건의 해커들은 이 법에 의하여 구속되었습니다.
결론적으로, 그동안의 거대 기업과 개인간의 정보유출건에 대한 소송은, 사법부의 판단을 존중한다는 표면적인 수긍에도 불구하고 상당한 논란이 있었던것이 사실입니다.
앞으로 예견되는, 이번 KT사건과 그리고 앞서 발생했던 농협 국민 롯데 카드 3사의 정보유출에 대한 집단소송(개별 소송 포함하여)에서는, 개인의 사생활 보호라는 우리 헌법상의 핵심적 가치관이 명쾌한 사법적 정의를 통하여 보장 받을 수 있기를 간절하게 기대해 보겠습니다.
이상, [KT 정보유출과 집단소송 판례-개인정보보호법을 중심으로]에 관한 이중불꽃의 포스팅이었습니다.
