전국민의 개인정보가 이미 오픈 소스화된 한국에서 개인 정보 유출로 인해 기업이 집단에게 손해배상을 한 일은 없었습니다. 하지만 최근에는 이를 뒤집는 판결이 나왔습니다. 서울 서부 지법 민사 12 부 (부장 판사 배호근) 은 2013 년 2월 15일 2011 년 7월 발생한 네이트/싸이월드 해킹 사건에 대해서 2882 명이 운영사인 SK 컴뮤니케이션즈를 상대로 낸 '1 인당 100만원 손해 배상 청구 소송' 에서 원고 일부 승소 판결을 내려 20 만원씩 지급하라는 판결을 내렸습니다. (다만 SK 컴측이 항소할 예정으로 알려져 최종 결과가 아님)
재판부는 3500 만건의 개인정보가 유출되었는데도 SK 컴즈가 이를 탐지하지 못했고 보안이 취약한 공개용 알집 프로그램을 쉽게 이뤄지도록 한점. 그리고 관리자가 업무 이후 컴퓨터에서 로그 아웃을 하지 않아 해커가 쉽게 서버에 접근할 수 있게 했다고 판결 이유를 설명했습니다.
이 판결은 나름대로 다른 문제를 일이킬 수 있는데 비슷한 사건에서 재판부가 서로 다른 판결을 내려 결국 원고든 피고든 기존의 판결에 불복하고 항소하거나 아니면 새로운 소송을 준비할 가능성이 커졌습니다. 하지만 일단 집단 (개인은 이전에도 승소한 사례가 있음) 손해 배상 소송에서 처음으로 일부라도 원고 승소 판결이 나오므로써 개인정보를 대량으로 보유하고 있는 기업들에게 적지 않은 경종이 울렸다고 평가할 수도 있을 듯 합니다. (또 여담이지만 알집을 만든 이스트 소프트에서 어떻게 반응할지도 궁금하네요)
이 판결의 무엇보다 큰 시사점은 국내에서 워낙 정보 유출 사건이 많았던 만큼 앞으로 줄소송이 이어지지 않겠느냐는 관측입니다. 다만 이 판결만 예외적인 사례로 남게 될 것인지 아니면 앞으로도 비슷한 판결이 나올지 현재로써는 알기 힘듭니다. 그러나 이 판결 이후 기업들이 보안을 더 강화할만한 이유가 생긴 것은 확실해 보입니다. 자칫 잘못하면 대규모 손해 배상을 해야할 위험성이 있기 때문이겠죠.
여기까지는 기사지만 제 생각을 말한다면 개인적으로 이런 문제를 해결하기 위해서는 보안을 철저하게 하는 것은 물론 사실 필요없는 개인정보를 수집하지 못하게 만드는 것이 가장 중요하다고 생각합니다. 기업 입장에서도 사실 필요하지 않은 개인정보를 수집 관리하다가 털리는 일을 반복하고 싶어할리가 없기 때문이죠. 물론 앞으로 적어도 주민등록 번호는 - 뭐 이미 다 털린 마당에 당장에는 차이가 없긴 하지만 - 수집이 금지 됩니다.
하지만 아직도 한국에서는 이런 저런 개인 인증 의무가 사라지지 않고 과도한 개인 정보 수집의무가 계속 존재하기 때문에 해킹으로 인한 개인정보 유출 및 이로 인한 2 차 피해 (작게는 스팸, 계정 해킹에서 크게는 피싱이나 기타 금전적인 피해) 는 사라지지 않을 것입니다. 개인정보를 전혀 수집하지 않을 수는 없는 만큼 꼭 필요한 최소한의 개인 정보만 수집한 후 이를 고도의 보안 조치로 관리하고, 나머지는 폐기하든지 아니면 처음부터 필요없는 내용은 수집하지 않는 것이 가장 좋은 보안 대책이라고 봅니다.
이 판결 이후 정보 보안이 더 강조되리라 생각하지만 불필요한 규제를 (예를 들어 셧다운제라든지) 위해 과도한 개인 정보 수집을 하지 않는 것도 중요합니다. 그러나 이는 정치권의 생각과는 다르기 때문에 앞으로도 규제는 계속되고 개인 정보 수집 의무 역시 완전히 사라지지 않을 것입니다. 그러면 해커들이 노릴 수 있는 먹이는 여전히 존재하는 것입니다. 오히려 SK 컴즈나 KT 등의 개인 정보 유출 사고처럼 알려진 해킹은 덜 위험할 수도 있습니다. 문제는 해킹이 100% 증거를 남기는 범죄가 아닌 만큼 알게 모르게 지금도 개인 정보 유출이 일어날 수 있다는 것이죠. 보안 만큼이나 필요없는 정보는 수집하지 않는게 중요합니다.
참고
댓글
댓글 쓰기