IT산업에서 종종 발생하는 개인정보 유출 사고들은 내부자의 부정행위에 의해 발생된 것이 아니라, 외부 해킹으로 인한 것이다. 때문에 해당 사업자가 관련 법규의 규정 사항의 준수 유무와 그에 상응하는 보안조치들을 충실히 수행하였는가에 따라 민형사상의 소송에서 기업의 책임에 대한 유무가 판가름된다.
최근 네이트 개인정보 해킹사건에 대한 법원의 1심 재판에서, 손해배상지급의 원고승소 판결이 나왔다. 이것은 개인정보 해킹사고에서 사업자의 책임을 인정하는 첫 번째 사례가 돼 관련 포털서비스 업계와 업무 특성상 대량의 개인정보를 보유하고 있는 게임업체들로 하여금 향후 항소심 등의 진행상황에 촉각을 곤두세우게 하고 있다.

여기서 주목해야 할 부분은 이런 이례적인 법원판결과 경찰의 수사결과를 보면 그동안 해킹관련 사건에서 사업자의 해킹방지를 위한 최선의 노력이 있었다면 그에 대한 책임을 묻지 않았는데, 그런 법률적 판단의 기준이 기업의 책임을 강화하는 방향으로 변하고 있다는 점이다.
이와 관련, 최근 주목하게 되는 법원 판결이 있었다. 다름 아닌 회사의 임원이 기밀정보를 경쟁사에 넘긴 혐의로 검찰에 의해 고발된 사건이었다. 재판부의 판결문을 보면 ‘관련자료와 해당 기술이 대외비 또는 기밀자료로 분류되지 않았고, 별다른 보안조치가 되어 있지 않다’고 해 ‘영업비밀로 인정되기 어렵다’며 관련 혐의에 대해 무죄를 선고했다.

기업의 정보보호와 관련된 업무를 어떻게 수행해야 하는지 보여주는 판례가 되는 것으로 형식적이고, 일회성의 조치가 아니라 실질적인 노력들이 지속적으로 수반돼야 한다는 법원의 판단이라고 볼 수 있다.
게임업체는 대량의 개인정보를 취급하고, 업무특성상 게임보안이라는 고유영역이 있다. 이런 점에서 게임서비스는 해킹 공격과 방어의 치열한 접전지대인 셈이다. 그래서 서비스 보안과 계정도용 방지 등 많은 보안대책들이 관련부분에 치중을 해왔던 것이 사실이다.

그러나 향후의 보안 업무는 이슈 중심의 대응책보다 기업의 전반적인 비즈니스 연속성을 위한 위험관리 차원에서 기획되고 내부 관리적인 보안까지 염두에 두고 수행돼야 한다.

또한 업무의 독립성이 보장될 수 있는 조직 내의 보고체계와 보안업무만을 전담하는 조직 내 효율적인 협업의 프로세스를 수립하는 것이 필요하다.

[김창기 엔트리브소프트 정보보안실장  kck9211@ntreev.com]