기업이 해킹을 당해 고객정보를 탈취당했다면 그 기업은 1차적으로 해킹 피해자이지만, 보안을 소홀히 한 잘못이 인정되면 제재를 받는다. 정보통신망법은 원래 ‘정보통신 서비스 제공자가 법률상 개인정보 보호조치를 하지 않아 이용자 개인정보가 유출된 경우’에 과징금을 부과하도록 되어 있었다. 즉 ‘미조치’로 ‘유출’이 되어야 과징금을 부과할 수 있었다. 두 요건 간 인과관계도 요구되고 있었다. 법에서 요구되는 보안조치를 취하지 않아서 취약점이 발생했고, 해커가 그 취약점을 뚫고 들어왔다면 인과관계가 인정된다.
한편 만약 적법한 보안조치를 취했다 하더라도 그 해킹을 막기 어려웠을 것이라고 평가되면 인과관계는 부정된다. 비유하자면 경비원이 허술하게 보관하던 현관문 열쇠를 도둑이 쉽게 훔쳐서 문을 열고 들어왔다면, 열쇠를 제대로 관리 못 한 행위와 도둑의 침입 사이에 인과관계가 인정된다. 즉 도난에 대한 경비원의 책임이 있다. 이와 달리 만약 도둑이 영화 ‘미션 임파서블’을 방불케 하는 솜씨로 굴뚝을 타고 내려와 침입했다면, 현관문 열쇠를 허술하게 방치한 행위와 도둑의 침입 사이에는 인과관계가 단절된다. 후자의 경비원은 열쇠 관리 절차를 위반한 것일 뿐, 도둑의 침입에 대해서까지 책임을 지지는 않아야 할 것이다. 본인의 행동과 인과관계 있는 결과에 대해서만 책임을 진다는 것은 법률의 기본원칙이다. 이를 ‘자기책임 원칙'’이라고도 한다.
2014년 신용카드 3사의 개인정보 유출 사고가 발표된 뒤 국회에서 부랴부랴 개정된 법률에서는 ‘유출된 경우로서 미조치한 경우’에 과징금을 부과할 수 있도록 바뀌었다. 종전 ‘미조치로 유출된 경우’였을 때와 비교하여 무엇이 달라졌는지 꼭 말장난 같기도 하다. 그런데 행정법원은 여기에 의미를 두었다. 개정법은 2016년 터진 인터파크 해킹 사건에서 처음 적용되었다. 인터파크 해킹 사고는 보안 취약점과 인과관계가 없었다, 즉 해당 보안조치를 안 한 것은 잘못이지만 설령 이 조치를 했더라도 막기 어려운 불가항력적인 해킹을 당했다고 주장했다. 이 주장이 받아들여지면 과징금이 아니라 과태료 부과 대상이 되며, 그 금액은 훨씬 가볍다. 애석하게도 법원은 인터파크의 주장을 배척하면서 ‘유출’과 ‘미조치’가 병렬적으로 존재하기만 하면 두 요건 간 인과관계가 없어도 과징금을 부과할 수 있다고 판결했다. 이 판결은 올해 초 대법원에서 확정되었다.
한편 정보통신망법은 ’이용자 개인정보가 유출된 경우’로서 정보통신 서비스 제공자가 이 법을 위반한 경우'’에는 기업에 300만원 이하의 법정 손해배상 책임을 지우고 있다. 2014년 개정된 과징금 조항과 같은 구도이다. 최근 선고된 민사 1심 판결은 인터파크가 이 규정에 따른 손해배상을 해야 한다고 판결했다. 개정법에서 인과관계를 요구하지 않으니, 인과관계가 있든 없든 인터파크는 책임을 지라고 명한 것이다. 이 판결이 과연 자기책임 원칙에 부합하는가.
다른 사례도 보자. 한 암호화폐 거래소에서 1·2차 해킹이 발생했다고 치자. 1차 해킹은 거래소의 보안상 과실로 인한 것이고, 2차는 불가항력에 의한 것이다. 그러면 1차 해킹에서 털린 이용자 암호화폐의 시가 상당액만큼 거래소가 배상을 해야 하겠지만, 2차에 대해서는 그럴 필요가 없을 것이다. 그런데 불가항력이었던 2차 해킹에다가 이번 인터파크 민사 1심 판결을 적용하면 어떻게 되는가. 미조치(1차 해킹을 초래한 과실) 및 유출(2차 해킹) 두 요건이 병렬적으로 존재하기만 하면 2차 해킹에 대해서도 책임을 지울 수 있는 것인가. 만약 그렇다면 문제의 거래소 입장에서는 해킹 피해를 은폐하는데 급급하지 않겠는가.
이처럼 본인의 행위로 말미암은 손해와 우연한 손해를 구분해서 적절한 책임 범위를 설정해주는 것이 ‘인과관계’의 역할이다. 함부로 뺄 것이 아니다. 피해자를 구제하고자 한다면, 특별법을 만들어 인과관계의 입증 책임을 전환하면 된다. 손해배상을 받고자 하는 원고가 인과관계를 입증하는 것이 원칙인데, 반대로 피고가 인과관계 없음을 항변하도록 만드는 것이다. 만약 입증책임 전환 제도가 위 거래소 사례에서 적용된다면, 2차 해킹의 피해자가 원고가 되어 제기한 소송에서 거래소는 어떻게 대응해야 할까. ‘그 원고가 1차 해킹의 피해자가 아니고 두 해킹은 원인이 다르다’, 즉 거래소 과실로 초래된 것은 1차 해킹뿐이고 2차는 배상 대상이 아니라고 항변해야 할 것이다. 이렇게 되면 1차 해킹 피해자는 제대로 보상을 받을 것이고, 거래소는 불가항력이었던 2차에 대해서까지 법적 책임을 지지 않아도 된다. 법적 책임 요건에서 인과관계를 아예 빼는 것보다, 인과관계를 요구하되 그 입증책임을 전환하는 것 정도가 기업의 입장에서도 합리적이고 소비자에게도 더 도움이 될 것이다.
전승재 법무법인 바른 변호사(‘해커 출신 변호사가 해부한 해킹 판결’ 저자) seungjae.jeon@barunlaw.com