김경환 법무법인 민후 대표변호사는 전자신문에 ‘드라마 이상한 변호사 우영우 속 개인정보 유출 사건의 진실과 허구의 경계’를 주제로 기고했습니다.

드라마 ‘이상한 변호사 우영우’ 제15화는 온라인 커머셜 기업의 개인정보 유출 사건을 다루었습니다. 해당 내용은 과거 있었던 인터파크 개인정보 유출 사건을 바탕으로 한 것으로, 김경환 변호사는 해당 사건을 1심부터 3심, 헌법재판소 사건까지 담당한 바 있습니다.

드라마에서 방송통신위원회는 개인정보 유출 책임이 있는 기업에 3천억 원의 과징금을 부과한 것으로 표현되나 실제로는 당시 기준으로 가장 큰 규모의 과징금인 44억 8천만 원이 부과되었습니다.

또한 드라마는 기업이 소송에서 승소한 것으로 표현하고 있으나 실제로는 방송통신위원회를 대리한 법무법인 민후가 모든 소송에서 승소하였다는 점에서 차이가 있습니다.

뿐만 아니라 드라마에서 실제와 달리 표현된 부분은 기술적 보호조치 위반과 개인정보 유출 사이의 인과관계에 대한 부분, 과징금 부과 대상이 되는 사실관계의 기준 시점입니다.

드라마는 해커가 악성코드를 심은 이메일을 보낸 시점이 해킹이 시작된 시점이고, 공격이 시작된 순간부터 유출로 보아야 한다며, 이 시점을 기준으로 법을 적용해야 한다고 표현했습니다.

그러나 이는 ‘유출’의 법적 정의와 맞지 않는 것으로, 표준 개인정보 보호지침은 '유출'을 '법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대해 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것'으로 정의하고 있습니다. 따라서 해커가 개인정보 DB에 접근한 시점을 유출 시점으로 파악해야 합니다.

이 외에도 드라마는 보호조치의 유무와 개인정보 유출의 인과관계를 다툼에 있어서 키로깅 설치만으로 보안조치 설정이 무용해진다는 점을 들었습니다. 이는 네이트·싸이월드 소송의 해킹기법을 섞은 설정으로, 해당 사건은 키로깅으로 관리자의 아이디·비밀번호가 탈취되었음이 인정되었기에 인과관계가 부정된 것으로, 만일 키로깅이 설치되었다 할지라도 탈취 정황이 발견되지 않았다면 사건의 결과가 달라졌을 수 있습니다.

실제 사건에서 법원은 최대 접속시간 제한 조치를 하지 않아 해커가 관리자 PC를 통해 DB 서버에 접속할 수 있었으므로, 보안 조치 미설정과 개인정보 유출 간의 인과관계를 인정하였습니다.

이후 인터파크 측은 방송통신위원회의 과징금 부과 근거인 정보통신망법 조항이 보호조치 위반과 개인정보 유출 사이의 인과관계를 요구하지 않는 것이 위헌이라며 헌법재판소에 헌법소송을 제기하기도 했으나 헌법재판소는 ‘정보통신서비스 제공자가 법률에 명시된 보호 조치를 하지 않은 경우에만 과징금을 부과할 수 있도록 돼 있으므로 정보통신서비스 제공자의 고의·과실을 묻지 않고 과징금이 부과되는 것은 아니다.’라며 합헌 결정을 내린 바 있습니다.

법무법인 민후 김경환 대표변호사는 기고를 통해 인기 드라마 속 에피소드와 그 배경이 된 실제 사건의 공통점과 차이점에 대해 자세히 설명하며, 유명 드라마를 통한 사건의 소개가 개인정보 보호의 중요성을 일깨우는 계기가 되길 바란다는 의견을 밝혔습니다.

기고 전문은 바로가기 링크를 통해 확인할 수 있습니다.