개인정보 보호조치의무 위반과 해킹 사이의 인과관계
The Causation Between The Violation of Personal Data Protection and Hacking
전승재(법무법인 바른)
93호, 135~163쪽
초록
인과관계에 관한 법이론을 정보보호(cyber security) 분야, 특히 해킹을 막지 못한 관리자의 책임을 추궁하는 사례에 적용하는 것이 본고의 목적이다. 우리 법상 개인정보 보호조치의무를 위반(이하 ‘미조치’)한 행위 자체는 과태료 부과 대상이고, 여기에 더해 실제 개인정보 유출(해킹)이라는 결과까지 발생하면 과징금 및 손해배상이라는 실체법상 책임까지 부담해야 하는 구조이다. 여기서 ‘미조치’라는 원인과 ‘해킹’이라는 결과 사이에 인과관계가 단절된다면, 즉 당해 미조치로 인해 생긴 취약점이 아니라 다른 제3의 취약점을 해커가 뚫고 들어왔다면, 그러한 결과에 대해서까지 관리자가 책임을 부담해야 하는지 여부가 쟁점이 된다. 본고는 싸이월드 해킹, 인터파크 해킹, 빗썸 해킹, 이상 3개 사례를 통해 이 쟁점에 관하여 검토한다. 싸이월드와 인터파크는 모두 APT(Advanced Persistent Threat) 공격을 당해 사내 PC의 원격제어권한이 탈취된 것으로 시작하여, 이 PC와 DB 서버 사이에 자동 로그아웃이 되지 않고 접속이 유지된 터미널이 남아있었던 것을 기화로 해커가 DB 서버에 침입할 수 있었다. 자동 로그아웃을 설정했을 때 해킹이라는 결과를 회피할 수 있었다고 평가되면 인과관계가 인정될 수 있는 사안이었는데, 싸이월드 사건에서는 이 부분 사실관계가 민사소송에서 심리된 끝에 인과관계가 부정된 반면, 인터파크 사건에서는 인과관계가 공법적・사법적 책임 성립 요건이 아니라는 취지의 행정법원・민사법원 각 하급심의 해석이 내려지면서 이 문제를 회피했다. 그러나 인터파크 판결의 해석은 법치주의의 대원칙인 자기책임의 원리에 위반될 소지가 있으므로 재고되어야 한다. 참고로 2021. 1. 6. 주무부처가 입법예고한 개인정보 보호법 개정안은 과징금 부과 시 인과관계를 고려하도록 명문화하고 있다. 빗썸 해킹 사건의 경우 방통위의 과징금 처분이 내려짐으로써 빗썸의 과실이 드러난 사고와, 해킹 원인이 밝혀지지 않은 다른 사고들이 혼재되어 있었다. 이러한 사안에서 인과관계 요건은, 관리자의 귀책이 입증된 취약점과 그렇지 않은 취약점이 각각 어느 사고에 대응되는지 본건과 별건을 분류해줌으로써 책임부담의 범위를 설정해주는 역할을 한다. 만약 인과관계를 요구하지 않을 경우 엉뚱하게 별건에 대해서까지 책임을 부담시킬 여지가 있고, 관리자로 하여금 피해 내역을 은폐할 유인을 키울 우려가 있다. 따라서 제도적으로는 인과관계 요건을 삭제하는 것보다, 인과관계를 요구하되 그 입증이 원활해지도록 하는 기반을 조성하거나, 인과관계 입증책임을 전환하는 정도로 대응하는 것이 더 바람직하다.
Abstract
The purpose of this paper is to apply the legal causation theory to the field of cyber security, especially to the case of judging the legal responsibility of a administrator who could not prevent hacking. This paper examines how the causation between the violation of personal data protection and hacking has become an issue through these three cases; Cyworld hacking, Interpark hacking, Bithumb hacking. Then this paper considers about the role of causation in determining whether security-neglected administrator bear legal responsibilities, and proposes ways to amend our legal system. Cyworld and Interpark both encountered an APT (Advanced Persistent Threat) attack; the remote access privilege of the in-house PC was stolen. The hacker was able to invade the DB server because there was no idle timeout setting in the terminal from the PC to the server and the terminal remained connected. If the hacking could be avoided when the idle timeout was set, it could be judged that there was a causation. In Cyworld case, causation was denied after being investigated in the civil lawsuit. On the other hand, in Interpark case, this issue was discarded by a court interpretation; legal responsibility could be imposed regardless of causation. However, this interpretation is not proper because it may violate the principle of self-responsibility. In Bithumb hacking case, there were a mixture of accidents in which Bithumb's negligence was revealed by a penalty that was imposed by the KCC, and other accidents whose cause of the hacking was unknown. In these cases, the causation plays a role in setting the scope of the burden of responsibility by classifying which incident the vulnerability is attributable to and which vulnerability is not, respectively. If the causation is not requested, there is room for responsibility for extraordinary matters, and it creates an incentive for the manager to conceal the damage. Therefore, it is not desirable to delete the causation in the legal system. It is necessary to establish a basis for enabling causation to be easily proved, or switch the burden of proof.
- 발행기관:
- 법무부
- 분류:
- 상사법