출처 : http://it.chosun.com/news/article.html?no=2846279
해킹으로 인한 개인정보 유출 소송과 관련한 대표적인 국내 소송은 옥션 사건과 네이트·싸이월드 사건(이하 '네이트 사건')이 있다. 옥션 사건은 2015년에 대법원 판결이 나왔고, 최근 네이트 사건에 대한 대법원 판결도 나와 두 대표적인 사건에 대한 법원의 입장이 정리됐다.
그런데 대법원의 두 판결은, 피해자들인 원고가 패소했다는 점에서 같지만, 법리적으로 보면 전혀 다른 견해를 밝히고 있다. 간단하게 정리하자면, 기업에 유리하게 적용될 수 있었던 옥션 판결이 최근의 네이트 판결로 인해 피해자들에게 매우 유리하게 바뀌었다.
2015년 2월 12일 선고된 대법원 옥션 판결(2013다43994 등)의 핵심 내용은 '정보통신서비스 제공자가 기술적·관리적 보호조치 기준 고시 내용만 준수하면 과실이 없다'는 것이다. 즉 다양하고 수많은 안전성 확보에 관한 보호조치가 있더라도, 기업은 고시만 준수하면 민사적으로도 면책된다.
예를 들어, 매우 기본적이고 상식적인 보호조치로 알려진 '관리용 단말기를 장시간 사용하지 않을 때는 로그아웃 또는 전원을 끄는 조치'라도, 이러한 의무 내용이 고시에 열거되지 않으면, 이러한 조치를 하지 않아 대량의 개인정보 유출 사고가 발생한 경우 이를 행하지 않은 기업에 책임을 물을 수 없다.
옥션 판결은 기업에 부담된 보호조치 의무나 책임을 상당 부분 경감시킬 수 있어, 때에 따라서는 기업 입장에서는 면죄부와 같은 판결이라 할 수 있다.
하지만 옥션 판결의 이러한 입장은 이번 네이트 판결로 대폭 수정됐다. 대법원에 의해 2018년 1월 25일 선고된 네이트 판결(2015다24904 등)의 내용을 요약하면, '정보통신서비스 제공자가 고시에서 정한 보호조치 내용을 다 준수하였다 하더라도, 그 외 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 않은 경우는 해커의 방조자로서 손해배상 책임이 있다'는 것이다.
이 판결 내용은 향후 해킹 관련 개인정보 유출 소송에서 중차대한 의미를 가진다.
첫째, 방송통신위원회의 개인정보의 기술적·관리적 보호조치 기준에는 '이 고시는 최소한의 기준'이라는 취지의 문구가 나오는데, 그간 그 의미에 대한 법원의 명확한 해석은 없었다.
하지만 네이트 판결은 '최소한의 기준'의 의미에 대해 우선의 기준을 제시하고 있다. 즉 '정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치'는 고시에 열거되지 않더라도 기업이 그 의무를 다하여야 한다는 것이다.
예를 들면, 대기업은 고시에 열거된 보호조치 내용뿐만 아니라 대기업의 보유 개인정보 개수나 매출 등을 고려하여 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치도 취해야 하고, 이를 취하지 않은 경우 해커의 방조자로서 손해배상 책임을 부담할 수 있다.
더불어 대법원은 정보통신서비스 제공자가 정보처리시스템에 접속한 개인정보취급자로 하여금 작업 종료 이후 로그아웃을 하도록 하는 것은 '정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치'의 예에 해당한다고 판단했다(지금은 해당 내용이 고시에 규정되어 있는데, 네이트·싸이월드 사건 발생 당시에는 고시에 그 내용이 없었다. 그럼에도 불구하고 대법원은 이를 당시 정보통신서비스 제공자가 취했어야 할 보호조치에 해당한다고 판단한 것이다).
둘째, 정보통신서비스 제공자는 해커의 해킹에 도움을 주지 아니할 주의의무가 있다고 명시적으로 판단했다. 그리고 기업이 적절한 보호조치를 취하지 아니하여 개인정보 유출이라는 결과가 발생한다면, 해커의 방조자로서 '공동 불법행위' 책임을 부담하게 된다는 점을 밝혔다.
통상 해킹 소송에서 기업은 피해자적 지위를 강조하지만, 대법원의 네이트 판결은 기업은 해커에 대항해야 할 주의의무가 있고 만일 이를 다하지 못하면 정보주체에 대해 책임을 질 수 있다는 기업의 가해자적 지위를 최초로 강조했다고 평가할 수 있다.
이번 네이트 판결은 옥션 판결을 부정하지는 않았지만, 위와 같은 추가적인 의무를 인정함으로써 결과적으로 옥션 판결의 입장을 뒤집은 판결로 볼 수 있다. 판결로 인해 향후 해킹으로 인한 개인정보 유출 소송에서 피해자는 고시에 국한하지 않은 다양한 주장을 할 수 있는바, 피해자의 지위가 전반적으로 크게 강화됐다.
이런 점에서 네이트 판결은 사실적인 면에서의 패소와는 별개로 법리 면에서 피해자의 승소 판결이라고 할 수 있으며 우리나라 개인정보 유출 사건의 기록에 진하고 큰 획을 그은 중차대한 판결이라고 평가한다.
'old > 관리적 보안' 카테고리의 다른 글
| [기사] 디지털데일리 GDPR 연재기사 (0) | 2018.01.14 |
|---|---|
| [기사] 대학 ISMS 인증 거부 (0) | 2018.01.05 |
| [기사] ISMS, PIMS 인증 통합 (0) | 2017.12.28 |
| [기사] IoT 보안 인증 (0) | 2017.12.28 |
| [자료] 사이버 공격에 따른 보험사 보상 내용 (0) | 2017.12.27 |
