개인정보보호법 시행 이후 기업들은 민감해 질 수밖에 없는 상황이다. 만약 유출사고가 발생한다면 지금까지 겪어보지 못했던 모진 경험을 감당해야 한다. 구태언 변호사 “이제 기업들은 고객 개인정보유출 사고가 났다는 가정하에 우리 기업은 어떻게 대응해야 할지 준비할 때”라며 “가장 좋은 것은 유출사고를 미연에 방지하는 것이겠지만 100% 방어란 힘들기 때문에 유출사고 이후에 대한 대응책 마련도 하고 있어야만 법정에서 불리한 상황을 피할 수 있다”고 강조했다.
 
26일 펜타시큐리티에서 주최한 PENTASEC 2011에서 구태언 변호사는 ‘개인정보 유출과 위기대응’이라는 발표를 통해 개인정보 유출 이후 기업이 감당해야 할 힘겨운 과정과 최선의 대응법에 대해 구체적으로 설명했다.
 
우선 최근 보안사고는 해킹 수법의 진화로 사전방지가 어렵고 사후 원인 규명도 힘들다. 이런 상황에 정보유출 사고가 발생하면 각종 기관의 동시관여와 고객 중심의 법해석으로 기업은 여론의 조기 단죄를 받을 수 있다.
 
구 변호사는 “최근 소송과 조정상 위자료 인정 사례가 증가하고 있다. 1인당 위자료가 10~20만원만 선고돼도 대량 유출 사고일 경우 기업은 도산 위기에 처할 수 있다”며 “초기 대응 미흡시 소송 패소로 연결될 가능성이 크고 집단소송 카페와 언론 보도를 통해 여론이 악화되면서 기업 이미지에 막대한 손상을 초래할 수 있다”고 강조했다.
 
◇사고 발생시 기업이 제일 먼저 결정할 일=그렇다면 기업은 어떻게 준비해야 할까. 예를 들어 사이버 범죄자의 해킹협박을 받고 자체 모니터링을 실시해 확인후 해킹당한 것이 사실로 드러났을 때, 우선 기업이 직면하는 과제는 공개와 비공개 사이에서 어떤 결정을 내려야 하느냐다.
 
공개할 경우 해야 할 일은 방통위, 금감원 등 유관기관에 신고를 해야하고 경찰에 수사의뢰도 해야한다. 또 언론에 정보유출 관련 보도자료를 배포하고 고객에 통지해야한다. 이때 감당해야 할 외부 도전은 만만치 않다.
 
우선 방통위와 금감원의 현장 조사를 받아야 하고 경찰의 수사에 협조해야 한다. 언론보도가 일파만파 진행될 것이고 인터넷 상에서는 추측성 소문과 악성 비방이 범람하고 고객들의 확인 및 비난성 문의가 쇄도하고 피해보상 요구도 빗발 친다. 더불어 집단소송 움직임도 진행될 것이다. 기업은 이 모든 것을 감수해야 한다.
 
한편 비공개를 결정하면 어떻게 될까. 물론 비공개가 발각될 경우 민·형사상 책임을 져야 한다. 사이버 범죄자들은 원하는 돈을 보내주면 모든 자료를 파기하고 절대 비밀을 보장하겠다고 유혹한다. 자료는 나만 갖고 있다는 등의 말로 유혹해 원하는 돈을 갈취하려 한다.
 
하지만 범죄자들의 말을 믿다가는 큰 낭패를 보게 된다. 보안이 잘 돼 있는 기업에 대한 해킹은 보통 개인이 아니라 그룹으로 이루어진다. 그래서 비밀보장은 힘들다고 봐야 한다. 또 요구하는 돈을 입금하면 고객정보를 다시 팔아버리는 경우도 있다. 또 다른 공범이 존재할 수도 있고 시일이 지난 후 마음이 변해 또 다른 협박을 할 수 있다.
 
◇공개 결정은 신속할수록 좋다=더구나 사이버 범죄자와 타협한 후 해킹 사실이 밝혀진다면 기업은 최악의 상황에 직면하게 된다. 구 변호사는 “이런 경우 고객들의 2차 피해를 막기 위한 조치를 하기는커녕 숨기기에 급급했다는 비난과 동시에 고객 이탈로 사업 위기가 초래될 가능성이 높다. 또 형사 입건될 가능성이 높아지고 처벌형도 높아질 수 있다”고 밝히고 “민사소송에도 악영향을 미친다. 2차 피해를 주장하며 집단소송이 제기될 것이고 법원이 과실을 인정해 손해배상을 명할 가능성도 높아지고 손해배상액수도 커질 것”이라고 경고했다.
 
즉 정보유출 사고가 발생하면 기업은 반드시 즉시 공개하는 것이 정답이다. 구 변호사는 “공개결정은 신속할수록 좋다”며 “공개 결정을 지연한 사이에 다른 곳에서 유출사고에 대해 밝혀질 경우 기업은 더 큰 리스크를 안게 된다. 더욱이 2차 피해 예방을 하지 못했다는 엄청난 비난에 직면하게 된다”고 밝혔다.
 
또 정통망법과 전자금융감독규정, 개인정보보호법 등에서는 침해사고에 대해 신고를 의무화하고 있어 기업들은 사고발생 인지 즉시 신고를 해야만 한다.
 
신고후 경찰조사가 이루어진다. 구 변호사는 경찰조사시 많이 발생하는 고시 위반 사유와 언론대응시 주의점에 대해 지적했다. 이외 고객대응과 집단소송 대응 등에 대해 소개했다.
 
◇법적 대응과 관련 기업이 준비해야 할 일들=사례에서 자주 발생하는 고시위반 사유로는 IDS, IPS 운영이나 IP주소 등으로 접근통제, 웹서버의 개인정보시스템 보호 등이 안돼 있는 경우, 또 개인정보 중 주민번호, 비밀번호 암호화, 로컬 저장시 전 개인정보 암호화, 비밀번호 작성 규칙, 전송구간 암호화, VPN 접속시 추가 인증, 백신의 설치 및 주기적 업데이트 등이 부실하게 운영됐을 때 형사 입건 대상이 될 수 있다.
 
또 언론 대응도 중요하다. 구 변호사는 “언론 대응을 회피하거나 적극적으로 이용하는 것은 바람직하지 않으며 해킹의 정확안 경위가 밝혀지기 전 원인과 결과에 대해 언급하는 것도 부적절 하다”며 “집단소송의 원고는 언론 보도를 주된 증거로 사용하기 때문에 신중을 기해야 하고 부정확한 보도에 대해서는 즉시 정정 보도자료를 배포해야 한다”고 강조했다.
 
한편 고객 대응 지원 체계도 강화해야 한다. 공개 직후 고객 문의가 쇄도 한다. 여기에 불충분한 대응은 불리안 여론 형성으로 집단소송에 영향을 미칠 수 있다. 따라서 온라인, 전화, 방문 등 모든 상황에 대해 대응 준비를 해야 한다. 법무팀은 모범 문답을 준비해야 하고 2차 피해 방지를 위해 필요한 조치는 적극적으로 안내해야 한다.
 
특히 수사기관의 수사에는 적극적으로 협조하면서 이슈에 신속히 해명해야 한다. 구 변호사는 “기술적 사실관계의 정확한 확정이 가장 중요하다”며 “간혹 엔지니어들이 경험상 추측해 속단하는 경우가 많다. 법률가 입장에서는 위험한 속단들이다. 이런 추측성 속단들이 쌓여 회사에 불리한 결과를 가져올 수 있기 때문에 주의해야 하고 기관 조사와 경찰 수사 등 시간에 쫓겨 자포자기 하는 경우도 있고 현업 직원들의 은폐심리 등도 주의해야 한다”고 조언했다.
 
민사소송 시에는 “1심부터 3심까지 최소 3년 이상의 기간이 소요된다. 소송 쟁점이 되는 기술적 사항의 반론을 준비해야 하고 전문가 증인, 관련 기관 의견서, 참고자료를 확보할 것”을 강조하고 “경찰 수사, 유관기관 조사, 언론대응 등 기업에서 사고 후 법적 대응방법에 대해 평소 훈련이나 프로세스가 정립돼 있지 않으면 법률 판단에 악영향을 미칠 것”이라고 덧붙였다.  [데일리시큐=길민권 기자]