법무법인 지평지성 제4회 뉴스레터 (2009.01)
법무법인 지평지성 홈페이지
 
[법무법인 지평지성 IP·IT 칼럼]

 


최승수 변호사
sschoi@js-horizon.com

 

하루에도 수십 통, 수백 통 쌓여 있어 이를 일일이 삭제해야 하는 고통을 주는 스팸 이메일 또는 각종 광고성 이메일은 전에 비하면 상당히 줄었습니다. 이는 스패머들이 활동이 뜸해서라기보다는 사무실 컴퓨터 서버에 설치된 스팸차단 시스템과 소프트웨어가 제대로 작동하기 때문일 것입니다.

그런데 휴대폰 문자메시지를 통한 스팸은 날로 기승을 부리고 있습니다. 매번 지워야 하는 수고로 짜증이 나지만 한편 도대체 이런 쓸데없는 정크 메시지를 보내 수익을 제대로 올릴 수 있는지 의문이 들기도 합니다. 이에 더해 그들이 어떻게 내 휴대전화 번호나 이메일 주소를 알아냈는지 내 개인정보가 다른 곳에서 잘못 유통되고 있는 것은 아닌지 불안합니다.

최근 미국 UC 버클리 등의 컴퓨터 과학자들이 가짜 의약품 광고 스팸을 보내 반응을 조사하는 방법으로 진행한 연구결과에 따르면 26일 동안 3억 5천만 개의 이메일을 보낸 결과 28건의 판매가 성사되었다고 합니다. 실제 응답률은 0.00001%에 미치지 못하지만 그것이 누적될 경우 나름대로 상당한 수익을 올릴 수는 있는 수치라고 분석하고 있습니다.

그런데 이메일보다는 오히려 휴대폰 문자메시지가 유효한 응답률이 더 많을 것이라는 것이 필자 생각입니다. 여하튼 이메일이든 문자메시지이든 그것이 스팸이라고 홀대받더라도 매출성사 가능성이 있고 경제성이 있으므로 꾸준히 보낼 것입니다.

이러한 경제성이 있기 때문에 상품판매자는 끊임없이 유효 소비자의 개인정보를 찾게 되고 적법하지 않은 경로를 통해서라도 고객정보를 입수하려는 동기를 갖게 되는 것입니다.

최근 연이어 보도되고 있는 개인정보 유출사건을 보면서 그 프로세스를 대강 짐작할 수 있게 되었습니다. 어떤 경우는 운영자의 실수에 의해 고객정보가 유출되기도 하지만, 대부분 내부직원 또는 거래처 심지어 외부 해커에 의하여 고의적으로 빼내지기도 합니다. 올해 언론에 보도된 대형 개인정보유출사건만 해도 옥션, 하나로텔레콤, GS 칼텍스, 국민건강보험공단 등 이루 헤아릴 수 없을 정도이고, 실제 드러나지 않은 유출도 적지 않으리라 생각됩니다.

한국정보보호원에 따르면 지난해 신용정보 침해 및 주민등록 번호 훼손·도용 등으로 인한 피해상담·신고건수가 2만6천 건에 달한다고 합니다. 법무부에 의하면 개인정보 유출범죄는 2005년 1천251건이었으나 올해 2천400건을 넘을 전망이라고 합니다.

최근 언론보도에 의하면 중·고등학교 200곳을 비롯해 기업과 대형 포털 사이트가 최근 10대들에게 무더기로 해킹당한 사건도 발생했다고 합니다. 초등학생조차 따라할 수 있는 초보적인 해킹 기술만으로 대부분의 학교나 기업들의 보안체계가 뚫렸다는 점에서 충격적입니다. 어느 보안전문업체의 진단에 따르면 지난 3년 동안 100여 개 정도의 공공기관, 대기업, 교육기관 등에 대하여 모의해킹을 해본 결과 90% 정도가 매우 취약한 것으로 나타났다고 합니다. 우리사회에서 개인정보유출은 이제 더 이상 특별한 사건도 아니며, 제2의 옥션 사태, GS칼텍스 사태가 언제든지 터질 수 있다는 점을 예고하고 있는 것입니다.

이러한 개인정보유출에 따른 피해자들의 손해배상 소송도 잇따르고 있습니다. 지난 9월 발생한 GS칼텍스 개인정보 유출 손해배상 청구 소송에는 4만여 명이 원고로 참여했고, 1인당 약 100만 원씩 손해배상 청구금액만 408억 8천여만 원에 달한다고 합니다.

최근 개인정보 유출에 따른 소송에 대한 법원의 판결례를 보면 피해자 1인당 10만 원에서 많게는 50만 원까지 손해액이 인정되었습니다. 일례로 온라인 게임 운영업체가 게임 서버의 업데이트 과정에서 이용자들의 개인정보인 아이디와 비밀번호가 암호화되지 않은 상태에서 로그파일에 저장되도록 함으로써, 컴퓨터에 관한 상당 수준의 전문지식이 있는 사람이라면 누구라도 그에 접근하여 이용자들의 아이디와 비밀번호를 알 수 있는 상황을 발생시킨 사안에서, 법원은 개인정보 유출의 위험에 처한 이용자 1인당 50만 원의 손해배상책임을 인정한 바 있습니다.

법원은 컴퓨터 기술과 인터넷이 고도로 발달한 사회에서는 개인정보의 유출이 가져올 수 있는 피해가 심각하다는 점, 피고 회사와 같이 다수의 이용자들을 회원으로 가입시켜 게임서비스를 제공하고 그로 인하여 수익을 얻고 있는 업체에게는 그 사업과정에서 알게 되는 이용자들의 개인정보를 보호하기 위한 특별한 주의의무를 부담하도록 하는 것이 미래에 더 고도로 발달될 정보 사회에서의 개인의 비밀과 자유의 보호를 위해 바람직한 것으로 판단되는 점 등을 근거로 들었습니다. 이 사건은 실제 개인정보가 외부에 유출되어 사용되지는 않았지만 그러한 위험에 처한 경우에도 손해배상책임을 인정하였다는 점에서 시사하는 바가 매우 큽니다.

또한 개인정보 유출은 형사범죄로 처벌을 받게 됩니다. 즉, 이용자의 개인정보를 취급하거나 취급하였던 자가 직무상 알게 된 개인정보를 침해 또는 누설한 경우에는 5년 이하의 징역 또는 5천만 원 이하의 벌금형에 처하도록 되어 있고, 양벌규정에 의하여 해당 법인에게도 벌금형이 과해진다. 개인정보의 숫자가 수백만, 수천만 건인 점을 감안하면 해당 기업으로서는 가히 회사의 운명이 좌우되는 문제라고 하지 않을 수 없는 상황이 된 것입니다.

이러한 개인정보유출 시대에 즈음하여, 개인정보를 수집하는 단계에서 이를 가급적 억제하는 정책과 입법이 요구되는 것은 물론이거니와, 기업의 입장에서도 개인정보의 엄격한 관리대책이 절체절명의 이슈로 대두되었습니다. 한번 유출사고가 터지게 되면 기업 이미지가 회복할 수 없이 추락하는 것은 두말할 나위도 없고, 피해배상액이 천문학적인 액수가 될 수 있어 자칫 파산에 이를 염려까지 있기 때문입니다.

기업의 입장에서는 우선 실효성 있는 개인정보보호 보안시스템을 도입하여야 합니다. 그러나 보안프로그램이나 시스템의 도입만으로는 부족합니다. 유출사고의 70%는 내부직원에 의하여 은밀하게 이루어지므로 주기적으로 전문가에 의한 점검을 받는 시스템이 필요합니다. 최근 각광받고 있는 디지털 포렌식을 이용하여 주기적으로 개인정보 유출여부를 점검할 필요가 있습니다.

디지털 포렌식은 컴퓨터ㆍ인터넷 등 디지털 형태의 증거들을 수집하고 분석하는 수사 기법이고 최근 대검찰청에도 디지털 포렌식 센터를 개관하여 주목으로 받고 있습니다. 디지털 포렌식 기술은 범죄수사뿐만 아니라 그 기술을 이용하여 각 기업에서 개인정보가 유출되었는지 여부를 보다 정밀하게 체크할 수 있을 것입니다.

인터넷시대에서 고객정보는 기업에게 필수적인 마케팅 수단이기도 하지만 자칫 그 정보를 제대로 관리하지 않으면 기업 운명을 좌우할 정도로 치명적이기도 합니다. 따라서 경영자는 개인정보 유출방지를 위한 과감한 투자가 이제 기업의 필수적 비용이라는 점을 인식해야 할 것입니다.

※법무법인 지평지성 IP·IT팀은 Inews24에 [지평지성 법률산책]이라는 제목으로 정기 기고 하고 있습니다.

 

Untitled Document