Skip to content
Tags

개인정보 사고 판례: 침해사고 대응 노력에 따른 배상 규모 판결 사례

February 11, 2012

개인정보 침해사고 판별은, 해킹 사고를 당한 회사에서 사고 이후, 고객의 피해를 줄이기 위해 얼마나 많은 노력을 기울였느냐에 따라서 경중이 달라집니다. 이번 글에서는 개인정보 침해사고 재판시 사고 대응의 중요성에 대해 알아보겠습니다.

이번 글에서는, 개인정보 침해사고 재판시, 사고 대응의 중요성에 대해 간략히 알아보겠습니다.

개인정보 침해사고 판례들을 분석한 결과, 개인정보 침해사고 재판의 판결은 기술적인 면보다는 법리적인 측면에서 평가를 하는 경향이 있다고 생각합니다.

정보보호가 이슈가 되면서 관련 법률을 명확히 정의하려는 움직임이 활발하지만 기술적인 면이 들어가 있기 때문에 쉽지 않을 것입니다. 따라서 해킹 사고의 책임 여부나 배상 규모에 대한 판결은 단순하게 풀어갈 수 없는 문제라고 볼 수 있습니다.

즉, 기업 입장에서는 기술적인 면만을 고려하여 정책을 세워서는 안되고, 법원이 어떤 기준으로 기업의 과실 여부를 판단하는지 알아야 합니다.

개인정보 침해사고가 일어나면, 여러가지 평가를 통해 책임 여부를 결정합니다. 다양한 요소가 고려되는데 크게 나누면 2가지로 볼 수 있습니다.

  1. 침해사고를 막기 위해 어떤 노력을 하였는가?
  2. 침해사고 후 피해를 줄이기 위해 어떤 노력을 기울였는가?

[다른 글 보기: 침해사고 방지 노력에 따른 책임 유무 판결 사례]

2번이 이번 글에서 언급할 주제입니다. 침해사고를 당한 것은 분명히 유감스러운 일이지만, 피해를 막고자 노력했다면 참작 사유가 될 수도 있습니다. 반면에, 침해사고 후에 제대로 된 대응을 하지 않은 경우, 무거운 처벌의 원인이 되기도 합니다. 대표적으로 LG전자를 (사건번호: 2008나25888) 예로 들 수 있습니다.

사건의 개요는 이렇습니다. LG전자는 2006년 하반기에 신입사원 채용공고를 실시했는데, 채용에 떨어진 지원자 중에 한명이 LG전자 채용 사이트의 취약점을 이용하여 입사 지원자들의 정보를 볼 수 있는 링크를 인터넷에 올렸습니다. 링크는 인터넷을 통해 많은 사람에게 전파되었고 입사 지원자들의 정보는 최소 671회 이상 외부인에 의하여 열람당하였습니다.

참고로 해당 입사 지원서에는 개인사나 가족관계, 가치관 등 아주 민감한 개인 정보를 포함하고 있었습니다.

법원은 LG전자에게 피해자 보상 위자료로 30만원을 지급할 것을 명령하였습니다. 이는, 다른 개인정보 침해사고 재판 결과들에 비하여 비교적 무겁다고 볼 수 있습니다. 다음과 같은 사유로 손해배상책임의 범위를 정했다고 합니다.

1. LG전자의 보안조치는 당시의 기술수준에 비추어 충분하다고 볼 수 없는 점

2. LG전자 시스템의 모니터링이 아니라 다른 인터넷 게시판의 모니터링을 통하여 이 사건 사고를 발견하였고, 그로부터 1시간 8분이 경과한 후 해당 웹 서버가 차단되기까지 입사지원자들의 정보를 열람할 수 있었던 점

3. 사고 발생 하루 후에 입사지원사이트에 사고발생사실을 게시하였을 뿐 입사지원자들에게 이메일 등을 통해 안내한 바 없고, 소송에 이르기 전까지 입사지원자들에게 개인정보 유출 여부와 유출된 정보가 무엇인지 확인하여 준 바 없는 점

4. 개인사, 가족관계, 가치관 등 사적인 영역의 민감한 정보까지 침범당하였던 점

5. 위 게시글이 3,056회의 조회수를 기록하였고, 입사지원자들의 등록정보를 열람한 IP주소가 671개이며, 3천여명의 입사지원서가 열람당한 점

 

위 사유 중, 침해사고 후 대응에 관한 항목은 2번과 3번인데, 각 사항에 대해 추가적으로 언급하자면,

– 2번 항목: 이 사유를 통해서 분명히 알 수 있는 점은, 기업은 해킹을 당하지 않기 위해 노력하는 것뿐만 아니라, 이미 당했을 거라는 것도 가정하고 보안 대응을 해야 한다는 겁니다. 침입을 막는 솔루션도 많이 있지만 침입을 당했을 때 이를 탐지할 수 있도록 도움을 주는 보안 제품도 많이 있는데, 이러한 것들이 사고 대응에 도움이 될 수 있습니다.

물론 무엇보다 좋은 것은 솔루션에 의지하는 것이 아니라 외부 위협을 전방위적으로 커버할 수 있는 제대로 된 보안 정책을 준비하는 것이겠죠.

 

– 3번 항목: 정보보호 역시 하나의 서비스일 뿐입니다. 따라서 해킹을 당하고 나서도 서비스는 당연히 이어져야 합니다. 해킹 당한 것 자체가 유감이긴 하지만, 이미 벌어진 일이기 때문에 이를 해결하는 것도 중요합니다. 얼마나 신속하고 친절하게 대응했느냐가 관건이라고 볼 수 있습니다. 기술적으로 특별히 어려운 부분은 없지만, 문제는 대부분의 회사에서 침해 사고 후의 대응 프로세스 절차가 명확하게 준비되어 있지 않다는 것입니다.

또한, 본 항목을 통해 국내 기업들은 위험한 줄타기를 하고 있다는 것을 알 수 있습니다. 기업들이 침해사고를 당해놓고도 이를 외부에 알리지 않고 덮어두려하는 경향이 있다는 것은 보안 업계에 종사하는 사람들이라면 널리 잘 알려져 있죠. 이러한 행위는 향후, 기업에게 더 큰 재앙을 불러일으킬 수 있다는 것을 인지해야 합니다.

 
개인정보 사고 판례: 침해사고 방지 노력에 따른 책임 유무 판결 사례 글을 통해 침해사고 방지 노력, 그리고 본 글을 통해 침해사고 후의 대응 노력에 따른 배상 규모의 판결 기준에 대해서 알아보았습니다.

다음 글에서는, 침해사고 재판 시 기업의 책임 유무 판결에 결정적인 역할을 하는 또 다른 요소 중 하나인, “침해사고 피해 기업의 보안 기술 수준”에 대해서 간략히 알아보겠습니다.

Advertisements

댓글을 남겨주세요.

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: