2015년 3월 20일. 서울 서부지법에서 행해진 2차 판결에서 SK컴즈가 승소하면서 3500만명의 개인정보가 유출돼 한 기업의 생사까지 좌우했던 국민적 사건의 진행이 일단락된 것으로 보인다. 패소하였다면 SK컴즈는 최대 7조 원에 달하는 배상금액을 물 수도 있다고 예상되었던 만큼 많은 이의 관심이 집중되었던 사건이다. SK컴즈가 승소할 수 있었던 이유는 무엇일까? 어찌 보면 기업들이 반면교사로 삼아야 할 두 가지 조건을 그 비결로 들 수 있다.

첫째, 법에서 요구하는 조건을 만족하게 하여라. SK컴즈는 초지일관으로 정보보호 관련 법 규정 요구사항을 지켜왔음을 주장했고, 그 증거자료들을 제시함으로써 자신들의 노력을 증명하려고 노력해왔다. 다른 나라들과는 달리 정보보안과 관련된 우리나라 법들은 기업이나 기관들이 지켜야 할 요구사항을 상당히 구체적으로 제시하고 있는데, 이는 다시 말해 해당 기준을 만족하는 경우 사고 발생 시에도 법적인 책임을 피해갈 수 있음을 의미한다. 따라서, 기업에 법적 요구사항을 만족하게 하는 것이 최소한의 필수요건이 되는 셈이다.

임홍철 사이버팀장

둘째, 동종업계를 주시하라. 판결을 담당하는 법관들은 IT 및 보안의 전문가가 아니므로 판결을 위해 다양한 자료를 참고하게 된다. 전문가의 의견을 수렴하거나 동종업계 기업들의 정보보호 현황 등을 판결에 참고하게 되는 것이다. 이는 법에 구체적으로 명시돼 있지 않다고 하더라도, 동종업계 기업들이 대부분 만족하는 조건에 미달하는 부분이 확인되면 보안에 취약하거나 정보보안 활동이 미흡하다고 판단될 수 있다. 판결에 불리한 요소로 작용할 수 있음을 의미한다. 따라서 항시 업계의 보안 추세를 잘 주시하고 뒤처지지 않도록 노력해야만 한다.

이 두 가지 조건에 충실하다면 기업은 IT침해로 인한 정보유출이 발생된다고 해도 최악의 상황은 피해갈 수 있는 구명줄을 확보하고 있다고 보아도 무방하다. 이는 형사소송에만 국한되지 않고 민사소송에도 영향을 미칠 수 있다. 그럼에도 기업들은 보안과 관련된 법 요구사항이 너무 많고 까다롭다고 한 목소리를 내면서 경기가 조금만 나빠져도 보안예산을 줄이고 보안인력을 줄이는 것을 주저하지 않는다.

보안을 기업경영의 필수요건으로 보지 않고 선택요건으로 보고 있음을 알 수 있다. 하지만 그 법이 기업의 구명줄 역할을 해주고 있음을 생각하면 기업들의 원성이 엄살로 느껴지는 것은 왜일까? 혹시 기업들은 자신에게는 IT침해사고가 발생하지 않을 것이라는 자신감이 있는 것일까?

IT침해사고는 기업에게 일어날 수도 있고 아닐 수도 있다. 하지만 잊어서는 안될 것이 있다. 사고가 발생한 경우 그 결과가 모든 기업에게  같지는 않을 것임을.

키워드

#N
저작권자 © 누구나 안심하고 살 수 있는 세상을 만드는 언론 세이프타임즈 무단전재 및 재배포 금지