옥션 해킹사고에서 빗썸사건까지
옥션 해킹사고에서 빗썸사건까지
  • 기사출고 2020.03.07 11:00
이 기사를 공유합니다

전승재 변호사, 국내외 해킹 사고 분석한 "해킹판결" 출간

2008년 1월 옥션 회원 1800만명의 이름과 주민등록번호, ID 등이 유출된 옥션 해킹사건은 사실상 전 국민의 개인정보가 유출된 첫 대형사고였다. 그러나 개인정보가 유출된 피해자들이 옥션을 상대로 제기한 민사 손해배상청구소송의 결과는 1심, 항소심, 상고심 모두 원고 패소판결. 옥션의 과실이 입증되지 않아 손해배상책임 없다고 판단한 것이다.

법무법인 바른의 전승재 변호사는 이와 관련, "과거에는 어처구니 없이 보안이 뚫린 기업조차 면피가 너무 쉬워서 문제였는데 지금은 반대"라며 "2014년부터 행정당국이 적극 개입하기 시작하면서 과징금액의 액수를 떠나 과징금이 부과되었다는 사실 그 자체만으로도 민사소송에서 기업의 과실이 인정되는 추세"라고 갈파했다.

◇해킹판결
◇해킹판결

'해커 출신 변호사'로 유명한 전 변호사가 최근 국내외 주요 해킹사례를 분석한, 해킹에 대한 법적 책임 해설서인 단행본 《해킹판결》을 출간했다. 옥션 사건을 비롯해 2017년의 비트코인 유출사고인 빗썸사건까지 국내에서 판결 또는 과징금 처분이 내려진 13건의 사례를 판결문을 토대로 분석했으며, 오픈소스 버그 리포트를 받고도 패치를 제때 못한 에퀴팩스(Equifax) 해킹, 지능형 지속 공격을 당한 야후(Yahoo) 해킹, 계정 도용 공격을 막지 못한 우버(Uber) 해킹, 이용자의 성적 취향 등 민감정보가 해커에 의해 폭로된 애쉴리 매디슨(Ashley Madison) 해킹 사례 등 외국의 사례도 함께 소개했다.

전 변호사는 "해킹 당한 기업의 책임이 법원 또는 행정청에서 추궁되었던 사례는 대부분이 이용자의 개인정보가 탈취된 사건"이라며 "그 이유는 첫째 예컨대 인터넷뱅킹 통장 잔고 데이터의 경우 높은 수준의 보안이 적용되어 좀처럼 해킹을 당하지 않는 반면 이용자 개인정보의 경우 대부분의 인터넷 서비스에서 활용되고 그중에는 보안이 취약한 곳도 있으므로 해킹의 표적이 되기 쉽다"고 지적했다. 또 "해킹의 대상이 예컨대 기업 내부의 영업비밀인 경우 그 기업 이외의 이용자 피해가 없으니 해커가 검거되지 않는 이상 민사든 형사든 소송이 개시될 여지가 없다"며 "이와 달리 기업이 보관하던 이용자 개인정보가 해킹 당한 경우 해커가 검거되지 않더라도 피해 이용자가 그 기업에 책임을 물을 수 있기 때문"이라고 설명했다.

전 변호사는 이 책에서 해킹 당한 기업이 어디서부터 법적 책임을 져야 하는지 기준선을 모색하고 있다. 해킹을 당한 기업은 분명 피해자이지만, 마땅히 막았어야 할 해킹을 막지 못했다면 이용자에 대해 법적 책임을 질 수 있기 때문. 반대로 기업이 정보보호를 충실히 했음에도 신출귀몰한 해킹을 막지 못했다면 법적 책임을 지지 않는다.

전 변호사는 "1000만명의 피해자에게 인당 10만원씩만 배상해도 무려 1조원"이라며 "법집행 강도가 급전환 되는 충격이 시장에 전해지기 전에 중용(中庸)적 제도를 마련해야 한다"고 말했다.

전승재 변호사는 학부 시절 보안 동아리에서 활동하며 해킹 대응전략을 모색한 '화이트 해커' 출신으로, KAIST 전산학과에서 학사와 석사를 마친 뒤 2007년 삼성전자에 입사해 2011년까지 4년간 소프트웨어를 개발한 남다른 경력을 가지고 있다. 이어 한양대 로스쿨에 입학해 변호사가 된 그는 2019년 한국인터넷진흥원으로부터 개인정보보호 분야 유공 표창을 받은 데 이어 현재 개인정보보호위원회 자문변호사로 활동하고 있다.

리걸타임즈 김덕성 기자(dsconf@legaltimes.co.kr)