기업 리스크에서 가장 큰 부분의 하나가 바로 해킹 위험이다. 특히 자신의 정보자산만 보유하고 있는 게 아니라 고객의 개인정보 등을 보유하고 있는 기업이 대부분이라는 점에서 해킹에 따른 위험은 기업의 사활이 걸린 문제일 수 있다.
해킹에 대해 어느 정도 보호조치를 해야 하는지는 법령에 규정이 있는 경우가 많다. 예컨대 개인정보 안전성 확보 조치 기준 등이 그것이다. 여기서 근본적인 의문은 법령에 열거된 의무만 다 하면 되는지 기업이 스스로 더 찾아서 보호조치 의무를 확대해야 하는지 등이 궁금할 수밖에 없다. 이 부분에 대한 답은 기존 대법원이 선고한 3개의 판결 안에 있다. 이에 해킹 또는 보호조치에 관한 대법원의 3대 판결을 시간순으로 살펴보기로 한다.
해킹에 대한 기업의 보호조치 의무에 대한 판결은 2015년 선고된 옥션 판결에서 시작한다. 옥션은 지난 2008년 2월 중국인 해커로부터 1080만명이 넘는 회원들의 이름·주민등록번호·주소·전화번호·아이디·계좌번호 등 개인정보를 해킹당했고, 이 소송에는 사상 가장 많은 약 15만명이 참여한 것으로 알려졌다.
이 사건에 대한 대법원판결 논지는 간단하다. 사업자가 고시에 규정된 내용만 준수하면 면책된다는 것이다. 다시 말하면 고시에 열거되지 않은 내용은 준수하지 않아도 된다. 기업에는 유리한 판결이었고, 기업에 부담된 보호조치 의무나 책임을 상당 부분 경감시킬 수 있어 때에 따라 기업 입장에서는 면죄부와 같은 판결이라 할 수 있다.
예컨대 매우 기본적이고 상식적인 보호조치로 알려진 '관리용 단말기를 장시간 사용하지 않을 때는 로그아웃 또는 전원을 끄는 조치'라도 이러한 의무 내용이 고시에 열거되지 않으면 조치를 하지 않아 대량의 개인정보 유출 사고가 발생한 경우 이를 행하지 않은 기업에 책임을 물을 수 없다.
그러나 이 판결은 2018년 네이트·싸이월드 판결에서 논지가 대폭 수정된다. 네이트·싸이월드 사건이란 2011년 해커로부터 3500만명이 넘는 회원들의 개인정보가 유출된 사건이었다. 이 소송에도 적지 않은 인원이 참여했다.
네이트·싸이월드 판결을 요약하면 사업자가 고시에서 정한 보호조치 내용을 다 준수했다 하더라도 그 외 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고, 사회 통념상으로도 합리적으로 기대 가능한 보호조치를 다 하지 않은 경우는 해커의 방조자로서 손해배상 책임이 있다는 것이다.
예컨대 정보처리시스템에 접속한 개인정보 취급자로 하여금 작업 종료 이후 로그아웃을 하도록 하는 것은 '정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고, 사회 통념상으로도 합리적으로 기대 가능한 보호조치' 예에 해당한다고 판단했다. 네이트·싸이월드 판결은 옥션 판결을 부정하지는 않았지만 이와 같은 추가적인 의무를 인정함으로써 결과적으로 옥션 판결의 입장을 뒤집은 것으로 볼 수 있다. 이 판결로 인해 향후 해킹으로 인한 개인정보 유출 소송에서 피해자는 고시에서 국한하지 않은 다양한 주장을 할 수 있게 되는 등 피해자 지위가 전반적으로 크게 강화됐다.
그런데 2021년 KT 판결에서는 네이트·싸이월드 판결에 언급한 '사회 통념상 합리적으로 기대 가능한 보호조치'가 이중적인 의미가 있음을 판시했다. 즉 '사회 통념상 합리적으로 기대 가능한 보호조치'가 네이트·싸이월드 판결에서는 사업자의 보호조치 의무 확대에 기여했다면 KT 판결에는 반대로 사업자가 '사회 통념상 합리적으로 기대 가능한 보호조치'를 했다면 면책된다는 의미로 판시했다.
예컨대 시스템에 취약점이 있다 하더라도 사업자가 오랜 시간에 걸쳐 설계에 지속 반영된 보안기술의 적정성을 검증하고 이를 적절하게 해결할 수 있는 개선 조치를 했다면 '사회 통념상 합리적으로 기대 가능한 보호조치'를 취한 것으로 봐서 책임을 지지 않는다는 것이다. 면책 요소로서의 '사회 통념상 합리적으로 기대 가능한 보호조치'는 불가항력은 아니지만 그에 가까운 것으로 평가된다.
정리하면 우리 대법원의 해킹 판결은 '사회 통념상 합리적으로 기대 가능한 보호조치'의 의미와 법적 평가를 찾아가는 과정이었다고 평가할 수 있다. 이와 함께 '사회 통념상 합리적으로 기대 가능한 보호조치'는 보호조치 확대 요소로도 면책 요소로도 모두 작용하고 있다는 점을 고려하면 사업자는 법령 규정에 기초하되 그에 한정하지 않아야 하고, 다만 완전한 무결함을 요구하지 않는다는 점을 이해하면서 해킹에 대응하면 될 것으로 보인다.
* 법무법인 민후 김경환 대표변호사 작성, 전자신문(2021. 11. 2.) 기고.