김경환 법무법인 민후 대표변호사는 전자신문에 ‘해킹에 관한 대법원판결 변천으로 본 보호조치 의무’라는 제목으로 기고했습니다.

기업은 사업을 영위하기 위한 정보자산 외에도 고객의 개인정보 등 주요 정보를 보유하는 경우가 많습니다.

때문에 기업은 해킹 위험으로부터 보유하고 있는 정보를 보호할 필요가 있으며, 우리 법 역시 개인정보 안전성 확보조치 기준 등을 통해 기업에 정보 보호조치 의무를 부여하고 있습니다.

그런데 법령상 명시된 보호조치 의무에 대한 해석은 여러 판결을 통해 변화해오고 있습니다. 법령에 열거된 의무만을 다 하는 것으로 법적 책임을 해소할 수 있다고 판단하는 경우가 있는가 하면, 법령상 명시된 조치를 다하였음에도 해킹 문제에 대한 책임을 부담토록 하는 경우도 있는 것입니다.

우리 법원은 2008년 옥션 해킹 사건에서 ‘사업자는 고시에 규정된 내용만 준수하면 책임을 면할 수 있다.’라는 태도의 판결을 내렸습니다. 고시에 열거되지 않은 내용은 준수하지 않는다 할지라도 이에 대한 법적 책임이 부과되지 않을 수 있다는 것입니다.

그러나 2018년 네이트·싸이월드 판결에서 법원은 ‘사업자가 고시에서 정한 보호조치 의무를 다 준수했다 할지라도 그 외 사회 통념상 합리적으로 기대 가능한 보호조치를 다 하지 않은 경우 손해배상 책임을 부담한다.’라며 법령상 명시된 내용 이상의 추가적인 조치를 취해야 함을 판시하였습니다.

그렇지만 최근 KT 판결에서는 ‘사회 통념상 합리적으로 기대 가능한 보호조치’가 면책의 의미로 해석될 수 있다는 점을 보여주었습니다. 정보보호 시스템 등에 문제가 있다 할지라도 이를 개선하기 위한 합리적인 노력을 기울였다면, 사회 통념상 합리적으로 기대 가능한 보호조치를 다 한 것으로 해석하여 면책 효과가 발생한다는 것입니다.

법무법인 민후 김경환 변호사는 기고를 통해 해킹 사건에 대한 우리 법원의 태도를 보여주는 판례를 자세히 소개함은 물론, 사업자의 적절한 정보보호 조치 마련의 중요성을 강조했습니다.

기고 전문은 링크를 통해 확인할 수 있습니다.