며칠 전, 인터파크 개인정보 유출 사건에 대한 판결이 났다. 이 판결은 솜방망이 판결만 봐왔던 이전에 비해 전례 없던 무거운 판결로 인터파크와 몇몇 기업들은 이 판결에 대해 내키지 않은 기색이다. 당시 역대 3위 안에 드는 규모의 개인 정보가 유출되었고 허술한 보안관리, 한 달이나 늦어진 해킹사고 발표는 이러한 판결의 이유로 충분했다. 더불어 계속되는 개인정보 유출 사건에 대해 그때만 고개를 숙이는 기업의 뻣뻣한 목에 뿔이 난 몇몇 이들은 빠르게 소송을 준비해나갔다. 가뜩이나 여러 사이버 사고가 터지면서 이번만큼은 보안에 대한 인지도가 달라질 수 있는 판결이 나올지 많은 이가 주목하고 있었다.
사건은 5월에 시작된다. 인터파크에서 경영관리직무를 하고 있는 한 직원이 친동생에게서 온 메일을 열어봤다. 그 메일에는 악성코드가 있는 파일이 첨부되어 있었고 직원이 파일을 실행시키자마자 컴퓨터는 악성코드에 감염되었다. 해커조직은 감염된 PC를 통해 원격으로 내부 구조를 파악하고 사용자 개인정보가 저장된 데이터베이스 서버로 침입하였다. 그들은 서버에 침입하여 약 1천만 명의 개인정보를 탈취하고 그의 대가로 30억 원의 금품을 요구하였다. 해커조직이 탈취한 개인정보는 이름과 아이디, 생년월일, 이메일 주소 등이 있으며 그 중 몇 개는 평문으로 저장되어 있고 암호화가 되어 있다고 하더라도 취약한 암호화 알고리즘을 사용한 것으로 드러났다. 해킹은 한 달이 지나고 임원이 메일을 통해 확실하게 확인하고 사고 접수 후 며칠이 더 지나서야 회원들은 이와 같은 소식을 알 수 있었다.
법원의 판결을 얘기하기 전에 이 사건과 유사한 사건으로 2014년 발생한 카드 3사 해킹사건과 2008년 옥션 개인정보 유출 사건에 대해 먼저 이야기하고 싶다. 2014년 발생한 카드 3사 해킹사건은 당시 신용정보회사 코리아크레딧뷰(KCB)의 직원 중 한 명이 농협카드, KB국민카드, 롯데카드에서 업무용 PC에 저장된 고객정보를 빼돌린 사건이다. 당시 서울중앙지법 민사 22부에서는 KB국민카드와 농협카드, KCB를 상대로 피해자 4,800여 명에게 1인당 10만 원씩 지급하라는 판결을 내렸다. 이러한 판결을 내린 이유로 카드사의 직원은 개인정보 등 법령상의 의무를 위반하여 정보 유출 사고의 원인을 제공했으며 KCB도 직원에 대한 감독 의무를 다하지 못했다는 이유로 이러한 판결을 내렸다. 이에 대한 판결에 카드사가 2차 피해를 방지하기 위해 노력했다는 점에서 위자료 산정 과정을 인정하여 과중 판결은 내리지 않은 것으로 이야기했다. 반면 롯데카드는 카드회원 650여 명이 롯데카드와 KCB를 상대로 1인당 50만 원의 손해배상을 요구한 소송에서 원고 패소 판결을 내렸다. 당시 이러한 판결을 내린 이유는 유출된 개인정보가 제 3자에게 넘어가지 않아 피해가 없었다는 판단을 내려 이 같은 판결을 내렸다.
또 하나의 사건으로 2008년, 옥션은 중국인으로 추정되는 해커들에게 개인정보 1080여만 건을 해킹당했다. 이에 14만 6000여 명이 옥션을 대상으로 손해 배상 소송을 냈지만, 당시 옥션의 보안 조치와 해킹방지 기술 발전 상황, 해킹 수법 등을 살펴볼 때 옥션의 개인정보 유출 관리에 과실이 있다고 보기 어렵다고 하여 원고 패소를 판결했다. 대신에 재판에서는 기업의 도의적, 사회적 책임을 진다는 차원에서 피해자들에게 특전을 부여하거나 적절한 조치를 하는 것이 바람직하다고 덧붙였다. 물론 이 판결의 후폭풍은 거셌다. 옥션의 이 재판은 거의 7년을 끌어온 재판으로 옥션의 상당히 허술한 보안 문제점이 제시되었음에도 불구하고 사용자들은 이 판결에서 패소했다. 옥션은 방화벽을 설치하지 않았고 주민등록번호와 같이 민감정보에 대해서도 암호화를 적용하지 않았다. 또한, 악성코드 설치 사실을 알고도 조치하지 않았다는 점에서 피해자들은 공분을 일으키고 문제를 제기했다. 하지만 그 당시 방화벽은 법적으로 정한 의무가 아니었고 다른 기업에서도 방화벽을 신뢰하지 않아 이용하지 않았던 점을 고려하면 옥션에 잘못이 있다고 보기가 어렵다며 옥션에 손을 들어줬다.
시간이 많이 지났지만 이러한 전례들을 딛고 인터파크의 판결은 상당하다. 여태껏 나왔던 개인정보 유출 사고에 대한 판결 중 최대금액인 45억이라는 과징금이 나왔다. 정확히 과징금 44억 8천과 2500만 원의 과태료가 부과되었고 재발방지 대책을 수립 시행토록 하는 등 시정명령이 부과되었다.
둘째로, 국가가 개입하여 속수무책으로 당할 수 밖에 없는 상황이었더라도 더는 면죄부를 주지 않을 것이란 의미도 있다. 즉, 국내뿐만 아니라 다른 나라에서도 쉽사리 책임회피를 할 수 있는 ‘국가적 개입’은 더는 면죄부가 아니라는 것이다. 국가적 개입의 해킹은 기업에서 막기 힘들다는 인식이 강해 해킹을 당하더라도 어느 정도 면죄부를 준 것이 사실이다. 과거 북한의 해킹소행과 관련하여 한수원 해킹사건에서도 허술한 보안관리를 행하고 있었지만 북한의 개입이었다는 것에 면죄부가 되었다. 오히려 한수원 사장의 뇌물 비리가 드러나면서 한수원은 더 큰 벌금과 징역을 선고 받았다.
마지막으로 인터파크의 허술한 보안관리가 이러한 판결 이유 중 하나로 크게 작용했다. 먼저 해킹 당하기 전 업무가 끝났음에도 업무용 PC를 로그아웃 하지 않고 퇴근하여 발생했었다는 것도 이 사건이 일어난 하나의 가능성으로 보고 있다. 또한, 사내에서 저장된 개인정보에 접근할 때 사용되는 암호나, 데이터베이스 서버나 웹 서버에 저장된 비밀번호를 암호화하지 않고 평문 그대로 저장하여 관리했다는 점도 포함된다. 더군다나 인터파크는 해커조직에게 해킹을 당한 후 한 달 후에서야 사용자들에게 알렸다. 물론 공지의 지연은 사건이 일어난 후 범인을 잡기 전까지 외부로 알려지는 것을 꺼려하는 경찰의 수사 때문인 것도 있다. 왜냐하면 경찰은 자신들이 수사에 들어간다는 사실을 알게 되면 범인이 사실을 확인한 시점에서 증거를 없애거나 숨길 가능성이 크다는 판단으로 알리지 않은 것으로 설명한다. 하지만 인터파크 관계자가 작성한 보고서에 따르면 해킹 사건을 인지한 후 이틀이 지나서야 사건이 접수되었고 이는 충분히 인터파크도 사건을 늦게 공지하는데 완전하게 경찰의 책임으로 돌릴만한 것은 아니라는 것이다. 그래도 결국 늦어진 시간에 관한 책임은 인터파크가 다 지고 들어갔다.
이러한 인터파크 판결에 대해 사람들은 여러 반응을 보였다. 먼저 기업 측에서는 해킹된 것이 기업 잘못이 아님에도 너무 많은 벌금을 내린 것이 아니냐는 반응이다. 더군다나 최근 해커들은 마음만 먹으면 기업체 해킹하기는 금방이어서 어느 정도 보안관리를 하고 있다고 해도 이런 식의 과한 처사는 오히려 보안의식을 높이려는 기업들의 사기를 꺾어놓는다는 이야기다.
형평성도 문제가 된다고 말한다. 이전에 개인정보 관리를 소홀히 한 기업의 해킹사고는 솜방망이 처벌이었다. 이와 비교하여 인터파크는 너무 과한 과징금을 처벌받았다는 것이다. 2014년에 개정된 정보통신망법에 따르면 개인정보 유출 사고 시 관련 매출액의 최대 3% 혹은 1억 원까지 과징금을 부과할 수 있도록 규정되어 있다. 인터파크는 대기업, 금융권 이동사 등 유사 사례 대비 60배에 달하는 과징금을 산정한 것으로 다른 기업에 비해 형평성이나 비례의 원칙에 맞지 않는다는 것이다.
하지만 필자의 생각은 좀 다르다. 먼저 경찰의 협조에 따라서 사용자에게 사건을 공지하는데 한 달의 시간을 지체했다는 것은 범인을 잡는 데에만 몰두하여 더 많은 피해자를 만들어낼 수 있는 선택이었다. 실제로 사건 발생 후 골든타임이라는 것이 존재한다. 이는 사건이 발생한 후, 2차 피해를 막을 수 있는 시간이다. 이런 골든타임은 보통 비밀번호가 암호화되어 공격자들이 이를 푸는 데 걸리는 시간 안에 해킹한 사이트뿐만 아니라 다른 사이트까지도 비밀번호를 바꾸어 2차 피해를 줄일 수 있다는 이야기다. 외국에서는 이러한 시간을 엄중히 관리하여 사건이 일어난 후 바로 알리는 것을 굉장히 중요하게 생각하며 늦을 시에 확실한 처벌이 부과되게 되어 있다. 이에 따라 경찰의 협조라고 했어도 사용자들에게 분명하게 알려 더 많은 사용자의 2차 피해를 막는 것이 가장 우선시 되어야 하지 않았나 생각된다.
둘째로, 기존의 다른 기업들이 받은 판결에 비해 인터파크의 판결은 확실히 형평성에 맞지 않은 과한 처벌이라는 말에는 동의한다. 하지만 그것에 대한 문제점은 인터파크가 아니라 과거에 있는 것이라 생각한다. 앞서 얘기했듯이 정보통신망법에는 개인정보 유출 사고 시 최대 3%, 혹은 1억 원의 과징금을 부여할 수 있음이 명시되어 있지만, 인터파크는 이보다 더 큰 과징금이 부여되었다. 확실히 법만으로 보자면 과거의 사례와는 형평성이 맞지 않다. 하지만 과거의 사례는 개인정보보호와 관련한 위반에 대해 솜방망이 처벌이라는 이야기가 항상 붙어왔다. 이런 솜방망이 처벌은 기업에서 보안이 아닌 다른 분야에 돈을 투자하고 남은 돈으로 혹은 아주 적은 금액으로 기본적인 보안만 유지하려는 사업자들의 가벼운 보안의식을 만들어내지 않았나 생각한다. 이렇게 적은 투자로 보안체계를 구성하기에는 갈수록 고도화되가는 해킹 공격을 방어하는데도 턱없이 부족한 투자라 생각한다. 결국, 이러한 상황이 반복되면서 악순환을 만들어낸다고 생각한다. 즉, 3%든 1억 원의 정해진 과징금은 피해자인 사용자에 대한 배려가 아니라 기업에 대한 배려로 제정된 법률이라 생각한다. 다시 한 번 외국과 비교하자면 외국에서는 보안을 굉장히 중요하게 생각한다. 실제로 보안을 무시하고 개인정보가 유출될 경우 개인당 몇 십만원씩 피해보상금이 지급되어 회사가 휘청하거나 망하는 경우도 허다하다. 이렇게 보안이 회사의 생존이 걸린 문제로 직결되면 보안을 생각 안 할 수가 없는 상황이 될 것이다.
분명히 인터파크가 다른 해킹사건에 비해 과한 과징금 판결을 받은 것은 사실이다. 하지만 이는 과거와 비교할 것이 아니라 앞으로의 미래와 비교해 나가야 하는 부분이라 생각된다. 즉, 과거의 보안이 있으나 마나 하는 덤이라면 이제는 덤이 아니라 우선시되어야 하는 하나의 분야로 자리매김이 되어야 하고 어떻게 보면 인터파크가 그의 시작이 아닐까 생각이 든다. 더불어, 과거의 사고로도 충분하게 위협을 느낄 수 있었던 시간이었다면 이러한 인터파크의 해킹사고는 갑작스러운 것이 아니라 변화의 시작이라는 생각이 든다. 이제는 과거에서 벗어나야 하는 시점이고 누군가는 시작했어야 했다.
1부 보러가기
