[기고] 해킹 사고와 교통 사고의 공통점, 그리고 바람직한 정보 보호 법·제도

해킹 및 교통 사고에는 다음과 같은 공통점이 있다.

첫째, 자동차가 없는 생활을 상상할 수 없듯, IT(정보기술)도 현대사회의 필수 인프라가 되었다.

둘째, 아무리 조심 운전을 하더라도 확률적으로 교통사고는 발생한다. 정보보호 또한 마찬가지로 서비스 제공자가 최선을 다해 물샐 틈 없이 막아도 해킹사고를 완벽하게 방어할 수는 없다.

셋째, 자동차 운전자는 혹시라도 발생할지 모르는 교통사고에 대비해 책임보험에 가입할 의무가 있다. 그러면 피해자는 사고 운전자에게 손해배상을 받지 못하더라도 보험회사에서 배상을 받을 수 있다. 정보보호 분야에도 의무보험 제도가 지난해 6월13일부터 시행되었다. 연매출 5000만원 이상 또는 일일 평균 이용자 1000명 이상인 IT 기업은 개인정보 해킹 등 유출사고에 대비해 ’사이버 보험’에 필수 가입해야 한다.

넷째, 교통사고를 낸 운전자에게는 사안의 경중에 따라 피해자에 대한 민사상 손해배상 책임 및 국가에서 부과하는 형사처벌이 양쪽에서 부과될 수 있다. 전자를 사적집행(私的執行), 후자를 공적집행(公的執行)이라 각각 한다. 정보보호 분야에서도 같은 구도로 제도가 설계되어 있다. 이용자 개인정보를 유출 당한 기업은 피해자에 대한 민사책임과 국가에 의한 형사책임을 동시 부담할 수 있다.

다섯째, 모든 운전자가 범죄자가 되는 것을 막기 위해 교통사고처리특례법은 과실로 일상적인 교통사고를 낸 운전자를 처벌하지 않는 구조로 되어 있다(물론 책임보험에 가입하거나 피해자와 합의를 함으로써 손해배상은 해야 한다). 예외적으로 신호 위반과 중앙선 침범, 시속 20㎞ 초과한 과속, 앞지르기 방법 위반, 철길 건널목 통과방법 위반, 건널목 및 인도 침범, 무면허 운전, 음주 운전, 개문(開門) 발차, 어린이 보호구역에서의 상해, 제대로 고정 안 된 화물의 낙하 등 12대 법정 중과실로 교통사고를 낸 이는 처벌 받는다. 운전자라면 들어보았을 만한 법률 상식이다. 정보보호 분야에서도 과잉 범죄화 방지 제도가 입법되어 있다. 기업은 이용자 개인정보를 해킹당했다고 해서 곧바로 처벌받는 것은 아니다. 정부가 고시한 암호화와 접근권한 관리, 접근통제 시스템 운영 등 구체적·개별적인 개인정보 보호조치를 위반했을 때에만 형사처벌 또는 과징금 부과 대상이 된다. 한편 해커는 침입행위 자체로 처벌된다.

참고로 불과 몇년 전까지 우리나라에서는 “정부가 고시한 보호조치만 했다면 처벌받지 않을 뿐만 아니라 정보유출 피해자에게 민사상 손해배상도 하지 않아도 된다”는 법리가 통용되었다. 마치 교통사고 12대 중과실이 없는 운전자라면 교통사고 피해자에게 손해배상조차 안 해도 된다는 식이었다.

이 잘못된 법리는 2018년 1월에 선고된 대법원 판결에서 바로잡혔다. 지금은 정부가 고시한 보호조치는 처벌의 기준이 되는 ’최소한의 의무’(minimum standard)일 뿐이고, 이것과 민사상 손해배상의 기준은 별개라는 법리가 확립되었다. 즉 정부의 고시는 과잉 범죄화를 막는 제도이고, 민사상 손해배상의 기준은 피해자 구제의 흠결을 막는 제도로서 서로 이원화되어 있다.

이 관점에서 보면 정부가 고시한 보호조치 의무는 교통사고 12대 중과실처럼 그야말로 기본적인 과실 유형만 규정하는 것이 취지에 맞을 터다. 그런데 현실은 그렇지 않다. 2014년 신용카드 개인정보 유출사고 등을 계기로 우리나라에서는 어떻게든 정부가 나서 보안사고를 당한 기업을 처벌해야 한다는 여론이 일었다. 대형 해킹 사고가 터질 때마다 정부가 고시한 보호조치 의무는 강화되었다. 현재는 해킹당한 기업의 작은 과실이라도 드러나면 어지간해서는 고시 위반으로 판단되어 처벌되는 실정이다. 해커에 맞서는 기업의 정보보호 책임자를 죄인 취급하는 분위기가 생겨버린 것이다.

이 대목에서 교통사고처리특례법이 왜 전방주시 의무를 처벌하지 않는지 되새겨 보아야 한다. 이것이 운전자에게 당연히 통용되는 기본적인 주의 의무라는 점에는 이견이 없을 것이다. 그럼에도 처벌하지 않는 이유는 전방주시를 제대로 했는지 일률적으로 판단하기가 애매한 탓이기도 하지만, 근본적으로는 처벌만이 주의 의무를 준수토록 하는 수단은 아니기 때문이다.

정보보호 분야에서도 마찬가지이다. 처벌 기준을 규정한 정부의 고시는 정보보호 책임자의 위반 여부 판단기준으로 명확하면서도 위반 시 중과실로 분류되는 최소한의 조치의무만 규정하는 것이 바람직하다. 그 이외 유형의 과실로 발생한 해킹 사고에 대해서는 민사상 손해배상 또는 사이버 보험제도로서 이용자 피해를 구제할 수 있으며, 굳이 국가권력이 개입하여 일일이 제재할 필요가 없다. 모든 교통사고에 정부가 나서서 처벌을 한다면 그 사회는 결코 건전하다고 말할 수 없는 것과 같은 이치이다.

물론 정보보호 분야에서 국가가 필수 개입해야 할 일도 있다. 바로 해킹 사고의 원인 조사이다. 교통사고를 예로 들면 수많은 보험회사 담당자와 도로 교통사고 감정사들 덕분에 상당수 사고는 경찰의 개입 없이 민간 스스로 처리할 수 있다. 반면 보안사고에서는 기업의 전산실 내부에서 일어난 일을 일반 소비자인 정보유출 피해자가 밝힐 길이 없으니, 정부 조사에 의존해야 한다. 이때 정부는 사고 원인 조사에 집중하고, 그 결과를 민간에 공유하여 피해자가 기업에 제기한 손해배상청구 소송에서 증거로 쓰일 수 있도록 한다. 정부 스스로 처벌권한을 행사하여 법집행 실적을 올리기보다 민간 스스로 분쟁을 해결할 수 있도록 민사소송에 그 기회를 양보하는 것이 바람직하다.

2018년 11월15일 국회에 발의된 ‘데이터 3법’이 지난 9일 국회 본회의를 통과했다. 종전 정부의 고시는 개인정보 보호법 하위 ’개인정보의 안전성 확보조치 기준’(행정안전부 고시) 및 정보통신망법 하위 ’개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시)으로 나뉘어져 있었다. 개정법이 조만간 시행되면 행정제재 부과 권한이 개인정보보호위원회(이하 개보위)로 이관되고, 두 고시도 개보위 고시로 통합되면서 개별 조항이 정비될 예정이다. 이번 기회에 개보위 고시는 교통사고 12대 중과실처럼 그야말로 ’최소한의 의무’만 담도록 개정하고, 나머지 유형의 과실로 인한 보안사고의 처리는 민사상 손해배상 및 사이버 보험제도에 맡긴다는 취지를 분명히 하길 기대한다.

전승재 법무법인 바른 변호사 seungjae.jeon@barunlaw.com

ⓒ 세상을 보는 눈, 세계일보