■ “가장 약한 사슬 강도 높여 전체 사슬 강도 높여야”
■ 개인정보 유출 피해보상이 회사 존립 좌우하는 시대 시작돼

[아이티비즈] 망 분리 관련법은 정보통신망법, 개인정보보호법, 금융위원회의 금융전산 망 분리 가이드라인 등에 따라 추진해야 한다. 특히 2012년 8월 정보통신망법이 개정되면서 정보통신 및 정보통신서비스 사업자, 포털, 통신 등 거의 모든 인터넷 및 통신 사업자는 법의 적용을 받게 됐다.

이 같은 법에 따라 망 분리를 해야 하는 대상은 1일 평균 100만 명 이상 이용자, 개인정보 보유 또는 정보통신 분야 매출액 100억 원 이상인 경우 등이 해당한다. 망 분리는 기본적으로 사업자는 물론 개인정보 취급자도 적용을 받는다. 아울러 개인정보의 단순 열람이나 수정 권한을 가진 개인정보 취급자는 의무 대상은 아니지만 엄격한 제한 기준을 적용받고 있다.

2013년 금융기관과 민간기업으로 망 분리 사업을 확대할 예정이라는 금융당국의 발표는 물리적 망 분리, 논리적 망 분리에 이어 3세대 하이브리드 망 분리가 등장하면서 망 분리는 의무화가 본격적으로 시작됐다고 볼 수 있다.

◆ 2014년 기업 책임 묻는 법적 근거 마련돼

망 분리와 관련해 법률의 규제 또는 개정 내용에 따라 개인정보 유출에 따른 ‘법적 책임’을 묻는 판결도 생기기 시작했다. 그동안 국내에서는 개인정보 유출에 대해서는 옥션, GS칼텍스, 농협, 네이트, 넥슨, 티몬 등 기업의 책임을 인정하는 사례가 나오지 않아 피해자들은 손해배상을 청구하는 게 쉽지 않았다.

하지만 지난 해 6월 손해배상을 청구할 수 있는 ‘파란불’이 켜졌다. 방송통신위원회는 “KT가 기술적·관리적 보호조치를 제대로 하지 않았기에 981만 여명의 이용자의 개인정보가 유출됐다”고 판단해 보상을 청구할 수 있는 길이 열렸기 때문이다.

방송통신위원회는 2014년 6월 26일 과천정부청사에서 전체회의를 개최해 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’을 위반한 KT에 대해 7000만원의 과징금과 1500만원의 과태료, 재발 방지를 위한 기술적·관리적 보호조치를 수립해 시행하라는 시정명령을 내렸다.

주목할 점은 과징금의 액수는 크지 않지만 방통위의 의결은 KT가 개인정보 유출에 대해 기술적·관리적 보호조치를 하지 않았다는 점을 지적하고 직접적인 책임이 있다고 판단했다는 점에서 의미가 아주 크다. 기업의 책임을 묻는 법적 근거가 마련됐고 이로 인해 피해자에게 보상을 해줘야 하는 상황이 늘어날 수 있기 때문이다.

이와 관련 경실련 소비자정의센터는 KT 개인정보유출 피해자 2,796여 명의 손해배상 청구소송을 제기했다. 손해배상금은 1인당 100만 원씩 27억9,600만 원에 이른다.

◆ 피해 규모는 어느 정도나 될까?

2002년 태풍 루사에 의한 피해는 소방방재청이 추정한 바에 따르면 약 5조1,479억원이다. 2003년 한국인터넷진흥원은 슬래머웜에 의한 피해는 약 1,675억원으로 집계했다. 또한 2009년 디도스(DDoS) 공격은 약 544억원(한국경제연구원), 2013년 전 세계 사이버 범죄는 약 120조원(시만텍)에 달하는 것으로 나타났다.

개인정보 유출에 따른 기업의 피해도 이제는 무시할 수 있는 상황이 아니다. 피해보상과 기업이 견뎌야 할 충격은 상상보다 크고 강력한 게 현실이다. 이 같은 현실 상황은 해외는 물론 국내도 마찬가지다.

미국의 신용카드 결제업무 대행업체인 카드시스템즈(CardSystems)는 2005년 해킹 공격을 당해 고객 4000여 만 명의 성명, 신용카드 번호가 유출됐다. 이로 인해 카드시스템즈는 주거래 업체인 비자카드와 마스타카드를 잃었고 결국 2008년 퇴출됐다.

2010년 일본의 게임 및 동인상품 판매 업체인 트레이더는 멧세-산오(messe-sanoh)이던 시절 고객정보가 유출된 사례가 있었다. 그러나 얼마 가지 않아 22년 역사의 문을 닫고 점포 문을 닫았으며, 다른 기업에게 인수됐다.

SK컴즈는 2013년 2월 집단소송에 패소해 1인당 20만원을 지급하라는 판결을 받았다. 2014년 6월 KT의 책임을 묻는 판결과 크게 다르지 않다. 이는 싸이월드·네이트 해킹으로 회원 3,500만여 명의 개인정보가 유출된 사건에 관한 손해배상청구 집단소송에서 법원이 원고의 손을 들어준 사례다.

이 소송에는 2882명만이 참가했다. 만일 개인유출 피해자 3,500만 명이 모두 소송에 참여해 승소판결을 받는다면 위자료는 총 7조원에 육박한다. 2,882명에 대해 1인당 20만원을 보상하는 금액은 5억7,640만원이다. 하지만 3,500만 명이 소송에 참여할 경우 SK컴즈가 감당해야 할 금액은 ‘0’이 12개나 붙은 7조원을 부담해야 한다. 대기업이라 해도 7조원을 보상해야 한다면 회사가 존립하기 어려운 천문학적인 금액이다.

◆ “자산을 보호하고 정보 유출 막아야 회사가 산다”

보상 여부와 상관이 없이 정보 유출로 인해 회사가 치명적인 타격을 입은 사례는 이제 드문 경우가 아니며 사고로 인한 직접적인 피해는 회사에 큰 영향을 끼치고 있다. 이는 두 가지 사례만 살펴봐도 확인할 수 있다. 2008년 옥션과 GS칼텍스에서 개인정보 유출 사고가 발생했다. 두 회사는 보상에 대해서는 각각 2010년과 2009년에 기각 판결을 받았다.

옥션은 2005년과 비교해 영업이익은 417억원에서 39억원으로 하락했다. 또 해킹사고로 인해 비용 지출이 늘었고 소비자의 구매도 약화됐다. 정보 유출 기사와 소송 등으로 인한 기업 이미지 실추는 물론 2008년 7월 부터 ‘오픈마켓 방문자 수 순위 조사’에서는 2위로 하락했다. 옥션은 물론 같은 업종에 대해서도 좋지 않은 영향을 끼쳐 한 쇼핑몰의 경우 새로 가입하는 회원은 30~40% 감소하기도 했다.

GS칼텍스는 주요 일간지 1면에 사과 광고를 내보내고 고객 센터를 주말에도 운영하는 등의 노력을 하고 있으나 기업 이미지 하락과 이를 회복하는 데는 상당한 시간을 감안할 수밖에 없었다. 이를 계기로 SK에너지, S-Oil, 현대오일뱅크 등 동종업계도 부정적인 영향을 우려해 보안을 강화하는 등 대책을 수립하는 현상이 생기기도 했다.

◆ “가장 큰 피해는 가장 취약한 데서 나온다”

개인정보 유출과 기업이 감당해야 할 경제적 피해, 그리고 기업 이미지 실추는 이제 다른 나라나 옆 동네의 이야기가 아니다.

박지웅 변호사는 개인정보 보호와 관련해 “과거와 달리 요즘에는 개인정보가 곧 개인을 말해주는 중요한 수단이며 이 수단은 곧 신용이자 재산으로 작용하고 있는 만큼 개인정보는 매우 중요한 것”이라며 “개인정보를 보호하기 위해서는 조직의 핵심 자산을 파악하는 것이 중요할 것으로 본다”고 말했다.

박 변호사는 또 “공공기관과 금융권도 개인정보를 보호하기 위해 개인정보 정책과 제도를 시행하고 있지만 아직도 피해는 나타나고 있다”면서 “정보 유출로 인한 피해에 대해서는 앞으로 소송을 제기하는 일도 늘어날 것으로 보인다”고 밝혔다.

유엔난민기구(UNHCR)에서 정보보호총괄책임자(Senior ICT Security Officer)로 근무하고 있는 최운호 박사는 “여러 여건상 전체 자산에 보안을 적용하기 어렵다면 전체 자산이 아니라 필요한 자산, 중요한 자산을 찾아 그 자산을 보호할 수 있도록 하는 방법을 모색해 볼 필요가 있다”고 말했다.

최 박사는 “자산관리 정책 수립, 자산조사 및 식별, 자산분류 및 등록 등의 과정을 거쳐 어떤 자산에 대해 보호할 것인가를 파악한 후 필요한 조치를 적절하게 실행하는 게 가장 중요하다”고 설명했다.

특히 “보안 관련 격언 중에 ‘사슬 전체의 강도는 가장 약한 사슬의 강도에 해당 한다’는 말이 있는데, 가장 약한 곳을 살펴 가장 강한 사슬이 되도록 해야 사고를 최소로 줄일 수 있을 것”이라고 강조했다.

<저작권자 © 아이티비즈 무단전재 및 재배포금지>