'해킹=불가항력' 아니다...기업들 '비상'

[이데일리 김현아 정병묵 기자] 법원이 해킹으로인한 SK(003600)커뮤니케이션즈(SK컴즈)의 개인정보 유출에 처음으로 책임을 물으면서 업계가 초긴장 상태다. 같은 사건에서 원고가 패소한 적도 있지만, 사회적인 분위기가 기업들의 개인정보보호 보호 조치에 강한 책임을 요구하는 쪽으로 바뀌고 있기 때문이다.

정부에서도 해킹에 대한 기업 책임을 강화하는 분위기가 커지고 있다. SK컴즈 사태는 KT(030200)와 넥슨, 현대캐피탈 등 진행 중인 개인정보 유출 재판에도 적잖은 영향을 미칠 전망이다.

해킹 사건 집단소송 첫 위자료 판결...기업들 초긴장

서울서부지법은 지난 15일 네이트·싸이월드 개인정보 유출 피해자 535명이 SK컴즈를 상대로 제기한 손해배상 청구 소송에서 SK컴즈가 피해자들에게 위자료 20만 원씩을 지급하라고 판결했다. 상급심에서 확정되면 1억 7000만원에 달하는 위자료를 줘야 한다. 피해자임을 주장하는 사람이 3500만 명에 달해 위자료가 눈덩이처럼 불어날 수 있다.

몇몇 법무법인들은 집단 소송을 추가로 진행하기로 공지하고 원고인단을 모으고 있다. 승소를 이끈 법률사무소 민후 측은 “수임료를 받지 않고 소송을 진행했던 것은 금전적 목적이 있어서가 아니라, 개인정보보호에 소홀한 기업에 경각심을 불러일으키기 위해서였다”고 말했다.

2만4000명이 서울중앙지법에 제기한 KT 해킹 피해자 소송이나, 1320만 명이 제기한 넥슨 소송, 175만 명이 현대캐피탈에 제기한 소송 등 일련의 집단소송이 진행 중이어서 기업들을 긴장시키고 있다.

기업이 해야 하는 보호조치 어디까지?..법 조문도 강화 추세

정보통신망 해킹 사건이 발생했을 때 기업이 어디까지 책임져야 할까.

지금껏 ‘정보통신망이용촉진및정보보호등에관한법률(이하 정보통신망법)’에 있는 기술적·관리적 보호조치를 다한 기업이라면, 사고가 터져 고객 개인정보가 유출돼도 사실상 면책받았다. 해킹을 ‘불가항력’으로 인정해 준 셈이다.

하지만 법원은 이번 사건에서 ▲3500만 명의 개인정보가 10기가바이트(GB)의 파일로 유출됐음에도 이를 탐지하지 못한 점 ▲기업용 알집이 아닌 공개용 알집을 사용해 보안에 취약했던 점 ▲밤샘 작업을 이유로 개인정보 DB에 접근권한을 가진 아이디를 로그아웃하지 않고 운영한 점을 기업의 과실로 판시했다.

SK컴즈 측이 W사의 데이터유출방지(DLP) 솔루션을 구축하는 등 기술적 조치를 다했다고 주장했지만, 받아들여지지 않았다.

지난해 개정된 정보통신망법도 기업의 책임을 강조하는데 영향을 미쳤다.

과거에는 접근통제장치의 설치·운영, 접속기록 위변조 방지 조치, 개인정보 암호화 조치, 컴퓨터바이러스 침해방지 조치 등 기술적· 관리적 보호조치를 준수하지 않아도 과태료 부과 규정이 없었지만, 2012년 8월 18일부터는 방송통신위원회가 기업들에 3000만 원 이하의 과태료를 물릴 수 있게 된 것이다.

EBS나 KT 역시 추가 제재당할 가능성이 있다.

EBS는 메인사이트 해킹으로 총 422만 5681명 회원의 아이디와 비밀번호, 이름, 이메일 주소, 생년월일, 주소, 유선 및 휴대전화 번호가 유출됐다. KT는 해킹으로 875만435 명의 성명, 휴대전화번호, 주민번호, 기기명, 요금제, 요금액, 기기변경일 등이 유출됐다.

방통위 조사 결과, EBS와 KT가 개인정보의 보호조치 의무를 다하지 않았다는 사실이 확인됐다. EBS는 ▲개인정보 입력 시 공인인증서 등 안전한 방법을 쓰지 않았고 ▲이용자 비밀번호를 암호화하지 않고 저장했다.

KT 역시 ▲전체 고객의 0.8% 정도에 대해서는 이용자 개인정보 송수신 시 암호화하지 않았다는 사실이 확인됐다. ▲침입차단 시스템은 정상적이었지만 인증토큰 등에 대한 검증은 제대로 하지 않은 것으로 확인됐다.

다만, 방통위는 해킹 사건과의 인과성을 밝히기 어렵다며 법원 판결을 지켜보고 추가 제재여부를 정하기로 했다.

또한 방통위는 올해 개정된 법을 시행하면서 과태료 제재 수위를 높이는 방안을 강구한다고 밝혀, 더이상 ‘해킹=불가항력’이란 이름으로 기업들이 면책받기는 쉽지 않아졌다.