국내 네티즌 1천100만여명의 눈이 14일 오전 서울중앙지법 460호 법정에 쏠렸다. 해킹에 의한 국내 최대 정보유출에 대한 선고가 내려졌다. 옥션의 1천81만명 회원의 개인정보가 유출됐고 이중 14만 5천여명이 소송을 제기한 사건이었다.
온라인쇼핑몰 옥션의 개인정보 유출에 대해 법원은 "배상책임 없음"이라고 선고했다. 법원의 판결이 내려짐에 따라 앞으로 여러 가지 논의가 이어질 것으로 보인다. 이번 옥션 소송으로 챙기고 고민해야 할 것들이 많았다.
개인정보 유출 사건은 크게 두 가지로 나눠 볼 수 있다. 첫째, 내부 직원이 유출하는 인적 사건이다. 둘째, 해킹 등의 방법으로 유출되는 고도의 기술적 해킹이 그것이다. 이 두가지 모두 해당되는 사례도 있다. 방화벽 등 보안체계의 관리 취약(인재)으로 해킹범죄에 쉽게 노출되는 경우를 말한다.
해킹의 경우 개별 기업으로서는 노력은 할 수 있으되 완벽히 차단할 방법이 없다는 게 현실이고 그렇다면 국가적 입체적 대응이 중요하다.
옥션의 경우는 다른 개인정보유출 사건과 다른 측면이 존재한다. 첫째 해킹으로 인한 대규모 개인정보유출 사건이었다. 둘째 해킹당한 것을 확인한 옥션이 곧바로 회원들에게 공지하고 경찰에 신고한 점이다.
이를 두고 소송과정에서 옥션과 소송대리인 사이에 논쟁이 대립했다. 옥션측은 "고도의 해킹범죄는 그 어떤 기업도 당해 낼 재간이 없으며 회원들에게 곧바로 알려 2차 피해를 막을 수 있었다"고 주장했다.
반면 소송대리인측은 "해킹을 당할 정도로 (옥션) 보안시스템이 취약했고 해커가 해킹사실을 알리려 하자 마지못해 회원들에게 공지하게 된 것"이라고 반박했다.
정확한 판결문은 아직 나오지 않았지만 법원이 '배상책임 없음'으로 판결함에 따라 옥션의 주장을 받아들였고 소송 대리인의 주장이 설득력을 잃었다고 유추해 볼 수 있다.
사실 해킹당한 기업이 회원들에게 곧바로 공지하는 것은 매우 드문 사례이다. 이를 두고 당시 옥션 내부에서도 심각한 논의가 있었던 것으로 확인됐다. 박주만 사장을 비롯해 고위임원과 관계자들이 해킹 사실 확인 직후 긴급회의를 열었다. "바로 알려야 한다"와 "사태를 지켜보자"는 의견이 팽팽히 대립했다.
우리나라의 경우 해킹을 당했을 때 이를 즉각 알리는 업체는 없다. 신고하기 보다는 해킹의 흔적을 없앤다. '난 몰라' 하는 경우가 많다. 회원들이 흔적을 발견하고 신고하더라도 "다른 곳에서 유출된 것"이라며 배짱을 부린다.
박주만 사장은 그러나 "회원들에게 즉각 알리는 것이 상식적이고 2차 피해를 줄이는 방법"이라고 결심했다. 회사의 존폐까지 논의되는 자리에서 박 사장은 "정직만이 우리가 갈 길"이라고 강조했다.
해킹으로 인한 개인정보유출은 일어날 수 있는 불가항력적 요소가 많다. 해킹의 기술수준은 인터넷 발전과 궤를 같이한다. 마음만 먹으면 대규모 공격을 할 수 있다. 방화벽을 뚫고 고객 DB를 송두리째 가져간다.
현실적으로 해킹으로부터 자유로운 기업과 기관은 없을 것이다. 보안 시스템도 인간이 만들고 해킹도 인간이 시도하기 때문이다. 해킹을 당했을 때 가장 먼저 그 규모와 실체를 파악하고 회원들에게 알리는 것이 중요한 이유다. 최근까지 기업이나 기관이 스스로 "우리 해킹 당했소"라고 신고한 경우는 없다.
옥션의 경우 개인 ID, 주민번호, 비밀번호 등이 유출됐다. 때문에 이를 즉각 알리고 이용자들이 비밀번호를 바꾸는 등의 방법으로 2차 피해를 줄일 수 있었다. 옥션측은 "해킹을 기술적으로 완벽히 차단할 수 없는 것이 현실이라면, 악의적 해커들의 해킹을 통한 이익실현 가능성을 차단하는 길이 유일한 해킹차단의 방법"이라고 설명했다.
2차 피해를 줄이는 방법에 대해 보다 깊숙한 논의가 진행됐어야 했다. 기업에서는 해킹의 위험을 최대한 줄이고 강화하는 방법을, 이용자 측면에서는 2차 피해를 줄이기 위해 무엇을 어떻게 해야 하는지를, 정부에서는 또 어떤 수사기법과 연계 가능성이 있는지를 살펴보는 계기가 필요했다.
이를 통해 앞으로 일어날 사건에 대한 '대응 매뉴얼 작성'이 필요하지 않았나 본다. 그러나 아쉽게도 이런 논의는 그동안 제대로 이뤄지지 않았다.
집단소송 체계도 한번쯤 짚어봐야 한다. 14만5천여 명이 이번 집단소송에 원고 인으로 참가했다.
옥션 개인회원들은 자신의 정보가 유출됐음을 알고 분노했을 것이다. 개인정보는 안전하게 보호돼야 한다. 옥션을 상대로 소송을 제기한 것은 상식적인 일이다. 그런데 그 방법은 생각해 볼 일이다.
'돈 잔치'로 변질된 측면이 없지 않다. 재발 방지 대책이나 2차 피해를 줄이기 위한 토론과 고민은 없었다. 변호사들이 앞 다퉈 원고들을 끌어 모으다시피 했다. 이번 소송을 대리하고 있는 변호사들은 각각 2만2천여 명과 10만여 명의 원고 인으로부터 수억 원을 확보한 것으로 알려졌다.
하지만 1심에서 "배상 책임이 없다"로 판결났기 때문에 14만 5천명의 원고는 받는 돈이 한 푼도 없다.
소송이 2년여 동안 진행되면서 심도 있게 논의돼야 할 것들은 사라지고 손해배상액과 원고인 규모 등에 관심이 집중돼 버렸다. 14만 명에 달하는 원고를 일일이 확인하는 작업도 긴 시간을 필요로 했다.
이런 점에서 본다면 소송 체계를 바꿔야 한다. 피해를 입은 한 개인이 소송을 통해 확정판결을 받으면 같은 피해를 입은 회원들에게 동시에 적용되는 방법을 고민해 볼 수 있겠다. 개인정보 유출에 따른 피해사실을 정확하게 파악하는 것도 중요하다.
자진 신고해 2차 피해를 줄이는 경우 해당업체에 어느 정도 정상참작할 필요도 있다. 법원이 이를 심각하게 이번 소송에서 염두에 뒀음을 유추해 볼 수 있다.
옥션의 개인정부 유출 사건은 이용자들의 심리적 상처 뿐만 아니라 재발되지 않도록 방법론적 고민도 함께 다뤄졌어야 했다. 그러나 소송은 원고인 규모와 손해배상 액수에만 매몰된 채 '돈 잔치'에 머물고 말았다.
우리나라 보안 발전을 위한 분수령으로 '옥션 사건'을 짚어야 하는 것도 숙제이다.
미국은 해킹을 당하고 이를 즉각 신고하지 않았을 경우 엄격한 처벌 규정을 두고 있다. 신고하지 않은 기업은 존폐까지 위협할 정도의 처벌을 한다. 그러나 우리나라의 경우 해킹을 당하고 신고하지 않아도 문제가 되지 않는다. 해킹당한 업체들은 흔적을 없애는 데만 혈안이 돼 있다.
이번을 계기로 해킹을 당하고 신고하지 않으면 존폐까지 생각하는 처벌규정을 만들어야 한다. 앞으로 옥션 소송은 2심, 3심까지 이어질 것으로 보인다. 1심이 진행되는 동안 고민되지 않았던, 소홀히 다뤄졌던 문제를 파악해 발전적 해결방안으로 상승하는 계기를 마련해야 한다.
정종오기자 ikokid@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기