이베이 옥션 판결 (대법원 2015년 2월12일 선고)
오늘날 우리의 삶은 ‘개인정보’로 정의된다. 아무리 내가 나라고 주장해도 이를 증명할 수 있는 신분증이나 생체 정보 없이는 나의 존재를 믿게 할 수 없다. 개인정보를 도난당하면 나의 존재 자체가 사라질 수 있다. 그렇다고 디지털 세상에서 발생할 수 있는 일들이 무서워서 은둔생활을 할 수만은 없다. 개인정보는 기술적 조치를 통해 보호할 수 있다. 기업들은 내부 유출, 외부 해킹 등의 방법으로 고객정보를 훔치려는 자들로부터 방어하기 위한 기술적 수단을 강구함으로써 고객이 자신의 개인정보를 믿고 맡길 수 있도록 한다.그런데 정부가 이런 기술적 보호 수단의 내용을 정하면 문제가 생긴다. 이런 규제는 개인정보를 보호하는 기능을 하지만, 다른 한편으로는 정해진 조치만 하면 개인정보 관리 책임자는 면책받을 수 있도록 하는 기능을 한다. 결국 기술 발전을 저해하기도 한다.
1800만 회원 정보 해킹당한 오픈마켓
이 쟁점에 대해 대법원의 선례가 되는 판결은 ‘이베이옥션(현 이베이코리아) 판결’이다. 이 사건의 피고는 ‘옥션’이란 인터넷 오픈마켓 사이트를 통해 회원으로 가입한 판매자와 구매자 사이의 상품 중개 및 전자상거래 등을 주로 하는 회사다. 판매자와 구매자 사이의 거래를 중개하고 판매자로부터 소정의 수수료를 받는다. 공동 피고인 인포섹 주식회사는 정보침해사고 대응 및 정보 보호 컨설팅 서비스 등을 주로 하는 회사다.
해커들은 피고 서버에 저장된 회원 이름, 주민등록번호, 주소, 전화번호, 아이디, 계좌번호 등 개인정보를 자신의 컴퓨터에 내려받아 이를 유출했다. 이 해킹 사고로 옥션 전체 회원 1800여만 명의 개인정보가 유출됐다. 피고는 2008년 2월4일 이 해킹 사고를 경찰 및 관계 기관에 신고하고, 5일 회원에게 개인정보 유출 사실을 공지했다. 회원 중 일부는 개인정보 유출로 피해를 봤다며 원고로서 손해배상을 구하는 소송을 제기했다.
정부가 정한 보호 조치만 하면 면책
피고 회사와 같은 정보통신서비스 제공자는 ‘구(舊)정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 따라 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취해야 할 법률상 의무를 지고 있다. 또한 수집한 이용자의 개인정보 등이 분실·도난·누출·변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호 조치를 취해야 할 의무도 부담해야 한다.
피고들은 정부가 요구하는 개인정보 보호 조치를 다했기 때문에 책임이 없다고 주장했다. 대법원은 피고의 주장을 받아들여 원고의 청구를 전부 기각했다. 대법원은 정보통신서비스는 ‘개방성’을 특징으로 하는 인터넷을 통해 이뤄지고, 네트워크·시스템·운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 해커 등의 불법적인 침입 행위에 노출될 수밖에 없다고 봤다. 또 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래 비용 등을 고려할 때 기대하기 쉽지 않고, 보안기술은 해커의 새로운 공격 방법에 대해 사후적으로 대응·보완하는 방식으로 이뤄지는 것이 일반적인 점 등의 특수한 사정이 있다는 점을 중요하게 봤다.
대법원은 정보통신서비스 제공자가 개인정보 보호 조치의 법률상 또는 계약상 의무를 위반했는지 여부를 판단할 때는 사고 당시 보편적으로 알려져 있는 정보 보안의 기술 수준, 업종·영업 규모와 전체적인 보안 조치 내용, 정보 보안에 필요한 경제적 비용 및 효용 정도, 개인정보의 누출로 인해 이용자가 입게 되는 피해 정도 등의 사정을 종합적으로 고려해 ‘사회통념상 합리적으로 기대 가능한 정도의 보호 조치를 다했는지’ 여부를 기준으로 판단해야 한다고 봤다.
개인정보 보호 수준은 기업 자율로
한국의 개인정보 규제는 정부 주도로 이뤄지고 있다. 반면 미국은 사기업의 경우 자율 규제(self-regulation)한다. 정부가 기준을 정하지 않기 때문에 기업들은 최신 기술을 각자 형편에 따라 도입하려고 하고 최선의 상태로 유지하려고 노력한다. 또 새로운 기술이 등장하면 이를 도입할 필요성을 검토하고, 관련 산업에서도 새로운 기술을 개발하려고 노력한다.
현행법 해석에 기반한 대법원의 판결은 이해할 수 있다. 그러나 정부 규제로 기업으로서는 정부의 기준을 지키는 이상의 비용을 들일 필요가 없으니 오히려 관련 산업이 발전하기 어려워지고, 기업으로서도 경쟁국에 비해 기술적 보호 조치의 수준이 낮아지는 문제가 발생할 수 있다. 시장이 기능하지 않을 때는 정부가 최소한의 기준을 상세하게 제시할 필요가 있지만 민간시장이 고도로 성장하면 정부는 이런 기준을 제시하지 않고 시장에 맡겨야 한다. 그때는 옳았더라도 지금은 틀릴 수 있다.
최승재 < 세종대 법학부 교수>