해킹 방지법? 노, 해킹 방조법!
  • 김인성 (IT 칼럼니스트)
  • 호수 245
  • 승인 2012.05.28 09:27
이 기사를 공유합니다

실효도 없는 보안 의무 사항을 나열해놓은 현재의 법 규정은 업체들이 면책할 구실만 준다. 뜯어고쳐야 한다.
SK컴즈는 2011년에 3500만명 이상의 회원 정보를 유출당했다. SK컴즈는 “통상적인 수준의 주의 의무를 다하였다”라고 주장하며 피해 보상을 회피하려 했으나 법원은 이례적으로 소송을 제기한 사용자에게 위로금 100만원을 지급하라고 판결했다.

일부 회원의 재판이었고 항소 등 절차가 남아 있지만 만약 이 판결이 대법원에서 확정되고 대규모 소송으로 이어진다면 보상금은 SK컴즈 연 매출의 100배가 넘게 된다. 이 때문에 업체는 회사의 존폐를 걸고 싸우지 않을 수 없게 되었다. 사실 재판부는 위자료 20만원 지급으로 합의를 보라고 화해권고 결정을 내렸는데 이 금액도 벅차기는 마찬가지여서 거부한 바 있다.

   
ⓒ뉴시스
SK커뮤니케이션즈 관계자들이 해킹 사태에 대해 사과하고 있다.

현행법은 업체가 해킹 피해에 대해 완전한 면책을 받지 못하면 파산할 정도의 피해 보상을 해야 하는 구조로 되어 있다. 이렇게 된 데에는 세세한 보안 규칙 준수 사항을 나열해 놓은 법 규정 탓이 크다. 이 법 조항 때문에 인터넷 사이트들이 해킹 방지에 노력을 기울이지 않고 해킹을 당하고서도 피해 보상에 무관심하게 되었다.

정보통신망법에는 침입 차단 시스템 설치, 암호화 기술 등을 사용한 보안 조치, 백신 등 바이러스 방지 조치를 할 것이 명문화되어 있다. 이런 사항을 지킨다고 해서 해킹으로부터 안전할 수는 없지만 해킹을 당했을 때 피해자에 대한 보상으로부터 면책을 받을 수는 있다.

실제로 인터넷 쇼핑몰 업체 옥션은 1000만명 넘는 회원의 정보를 유출당했지만 이른바 통상적인 주의 의무를 다했다는 이유로 완전한 면책을 받은 바 있다. 이후 모든 인터넷 업체들은 보안 의무 사항을 지키는 데만 신경을 쓰게 되었다. 해킹으로 인해 누가 얼마나 많은 피해를 입었는지, 그 보상은 어떻게 해주어야 할지를 논해야 할 재판정에서 방화벽 프로그램 설치 여부를 따지게 된 것이다.

피해자 사안별 보상 방식을

사실 보안 의무 사항을 명시해놓은 것은 대다수 업체가 최소한의 조치도 하지 않기 때문이다. 하지만 법이 규정한 형식적인 보안 조치는 실질적인 해킹 방지에는 아무런 효과가 없다. 법 조항에 백신을 깔아야 한다고 되어 있을 뿐 그 성능 기준이 나와 있지 않기 때문에 가격이 싼 제품을 채택할 가능성이 크다.

보안 예산은 삭감되고 보안 프로그램 사용 편의성도 신경 쓰지 않게 된다. 보안을 서비스의 한 분야라고 생각하지 않기 때문에 보안 프로그램의 성능 기준을 정하고 이를 만족하는 제품이라면 어디서나 사용할 수 있도록 하는 편의성을 제공하지도 않는다. 현실은 각각의 사이트가 자신만의 보안 프로그램 사용을 강요하고 있다. 사용자가 선호하는 제품을 선택할 수도 없다. 따라서 보안 프로그램은 사용자들이 가장 골치 아파하는 컴퓨터 작업 중의 하나가 되고 말았다.

해킹을 당해 개인정보가 유출되더라도 모든 사용자가 손해를 입지는 않는다. 사용자들의 불편에 대한 최소한의 보상을 한 다음 실제 피해자가 나타나면 사안별로 보상해주는 방식을 취해야 한다. 실제로 소니는 2011년 유명 해커 집단의 집중 공격을 받아 온라인 게임 회원 7700만명의  정보를 유출당한 후 대표이사가 공식 사과하고 모든 사용자에게 사용 시간 연장과 게임 소프트웨어를 무료로 제공하기로 했다. 또한 실제 피해가 발생할 경우 사용자 한 명당 최대 100만 달러까지 보상해주겠다고 약속도 했다.

그러나 법 조항 위반 여부에 따라 피해 발생 여부를 따지지 않고 전 사용자에게 보상금을 지불하는 시스템은 기업이 감당할 수 없기 때문에 실효성이 없다. 한국 업체는 법 조항을 무기로 보상 의무에서 벗어나려고만 하고 있다. 이 문제를 해결하려면 법을 개선할 수밖에 없다.

정보통신망법에서 구체적인 보안 조치 사항을 제거하고 업체의 해킹 방지 노력 의무를 명시하는 것으로 족하다. 해킹 발생 시 책임 여부는 개별 사안에 따라 판단하면 될 일이다. 이렇게 하면 기업들은 형식적인 보안 조치가 아닌 실질적인 해킹 방지에 노력하게 될 것이다. 편하면서도 안전한 보안 기법도 가능하다. 업체 스스로 사용자 정보 보호에 나서게 만드는 방법을 궁리해야 할 때다.

Magazine
최신호 보기 호수별 보기

탐사보도의
후원자가 되어주세요

시사IN 후원