해킹을 방지하지 못한 사업자의 과실책임에 관한 세 번째 대법원 판결에 부쳐

Abstract

「개인정보의 기술적･관리적 보호조치 기준」(이하 ‘방통위 고시’)은 개인정보의 기술적･관리적 보호조치 의무의 세부내용을 정하고 있으며, 이를 위반할 경우 과태료, 이를 위반함으로 인해 실제 개인정보 유출 사고(해킹)까지 터질 경우 과징금･형사처벌 부과 대상이 된다. 해킹 관련 첫 대법원 판결인 ‘옥션 판결’은 방통위 고시만 준수했다면 특별한 사정이 없는 한 손해배상책임 또한 없다고 판결함으로써 ①공법적 제재의 기준과 ②민사상 과실책임의 기준을 동일시하고 말았다(①=②). 두 번째 대법원 판결인 ‘싸이월드 판결’은, 비록 옥션 판결을 파기하지는 않았지만, ①방통위 고시를 준수했더라도 ②사회통념상 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는 과실책임을 진다는 판시사항을 추가하였다(①≠②). 이로 인해 향후에는, 방통위 고시는 공법적 제재의 기준으로서 그야말로 ‘최소한의 기준’으로만 운영하고, 민사법원은 방통위 고시에 한정되지 않고 업계 평균적 보안수준에 미달했는지 여부에 따라 손해배상책임을 판단함으로써 법집행의 유연성을 기할 수 있는 이론적 기초가 갖추어졌다. 실제 사건에서 그러한 판단 체계를 구현하기 위해서는 법원이 기술적 전문성을 보완할 필요가 있으며, 이를 위해 전문심리위원 제도를 활성화시키는 것이 하나의 대안이 될 수 있다. 세 번째 대법원 판결인 ‘KT N-STEP 판결’은 싸이월드 판결에서 추가된 판시사항(①≠②)을 인용하지 않았다. 이로 인해 대법원이 종전 옥션 판결의 입장(①=②)으로 돌아간 것이 아닌가 의문이 들 여지가 있다. 그러나 ‘①≠②’의 판시사항이 인용되지 않은 이유는 상고이유에 대해서만 심리하는 상고심의 소송구조 때문인 것으로 파악되므로 이는 여전히 유효한 법리라고 이해하여야 할 것이다. 옥션 판결이 선고되자 그 반작용으로 행정청의 법집행이 급격히 강화되었다. 정부는 피해자 구제의 흠결을 막기 위해 방통위 고시를 강화하고, 행정청 내 조사 및 제재권한을 집중시킨 전담조직까지 신설하였다. 그 결과 지금은 해킹 사고가 터지면 행정청이 어떻게든 사업자의 법위반사항을 적발하여 과징금을 부과하고, 정보유출 피해자들이 제기한 민사소송에서는 해당 행정처분의 존재를 인용하기만 하면 사업자의 과실(negligence per se)을 손쉽게 입증할 수 있게 되었다. 아직까지는 정보유출 피해자들이 소송에 무관심한 편이지만, 조만간 국민들이 이 사실을 실감하게 되어 소비자 소송의 참여율이 폭등하는 때, 해킹을 당한 사업자는 행정청이 부과한 과징금 금액의 다과를 떠나 행정처분의 존재만으로 거액의 민사상 손해배상을 피할 수 없는 상황에 처할 것이다. 수범자들이 그러한 충격을 겪기 전에 중용(中庸)적 법제도를 마련할 필요가 있다.