-
-
해커 출신 변호사가 해부한 해킹판결
전승재 지음 / 삼일인포마인 / 2020년 2월
평점 : 
품절
2008년도에 해킹으로 인하여 국내에서 떠들썩하게 했던 옥션의 개인정보 유출 사건이 있었다. 나도 그 정보 유출 회원 중 한 명이었는데 그 당시에는 개인 정보 보안에 무지했었고 첫 사건이었던 만큼 해결할 도리 없이 찝찝함만 남았다. 그 당시에 피해자만 해도 국민의 1000만 명이나 되었는데 이는 대한민국의 1/4의 달하는 수준이었다. 이로써 당시 피해 규모만 해도 정보 유출 피해 수준 못지않게 2차 피해의 우려도 적지 않았음을 짐작게 한다. 당시 피해로 인해 우려하던 목소리는 몇 가지로 추려볼 수 있다. 계좌 유출, 보이스 피싱, 가입된 타 사이트들의 아이디와 비밀번호 유출이다.
해킹을 정말 막을 수 없는 것도 사실이고 상당한 사이트들이 보안에 취약하기도 하다.
그 당시 옥션의 해킹 기법은 매우 초보적인 것이라고 한다. 누구든지 초깃값이 방치된 서버 접속 주소만 찾아낸다면 쉽게 해킹할 수 있는 구조이며 자동화된 해킹 툴만으로도 침입이 가능한 초보 유형의 방법이라고 한다. 어쨌거나 당시 옥션의 판결을 다시 되짚어보자면 민사 1심, 항소심, 상고심 모두 옥션의 과실 부분이 입증되지 않았기 때문에 옥션의 손해배상책임이 없다고 판결 났다. 당시엔 방송통신위원회 고시에서 서버 관리자 비밀번호를 정기적인 변경 규정이 없었다. 이와 같이 고시가 입법되지 않은 영역이었다. 방송통신위원회는 고시 제1조 목적 조항 "기술적·관리적 보호 조치의 '구체적인 기준'을 정하는 것을 목적으로 한다"라고 되어 있었는데, 이런 옥션의 선례로 인하여 약 3개월 후 2015. 5. 19. 방통위는 이를 '최소한의 기준'으로 개정했다고 한다. 뒤이어 행안부도 2016. 9. 1. 같은 취지로 고시 제1조를 개정하는 계기가 된다.
그러나 재미있는 사실은 이러한 옥션의 사건을 뒤로 네이트 판결에서는 기업이 해커에 대항하여 보호 의무를 다하지 못하였기 때문에 위법으로 인정될 수 있다는 내용의 법리를 추가했다. 이 두 판결들은 원고가 패소했다는 부분에는 일치하지만 법리적 해석으로 보면 견해가 확실히 나뉘는 판결이 되는 것이다. 이는 이번 정보 유출 피해자들의 입장에서 유리한 판결이므로 먼저 옥션 때와는 다르게 전혀 다른 입장이 된 사건을 만들었다. 이런 사건들을 발판으로 삼아서 국가적 차원으로 민감하게 반응하여 더 나은 장치를 마련할 수 있는 계기가 되길 바라며 서평을 마친다.