검색 본문 바로가기 회사정보 바로가기

인터파크 정보유출 '집단소송' 움직임…과실 입증이 관건

법조계 "즉시 통보 불이행·예방조치 미흡"
인터파크의 발뺌 "보안관리 업계 최고 수준…과실 아냐"

(서울=뉴스1) 김진 기자 | 2016-07-28 06:20 송고 | 2016-07-28 19:45 최종수정
26일 한 인터파크 가입자의 개인 정보 유출 피해 확인 결과. © News1
26일 한 인터파크 가입자의 개인 정보 유출 피해 확인 결과. © News1

인터넷쇼핑몰 인터파크의 개인 정보 유출 사고와 관련해 피해 회원들이 집단소송을 준비 중인 가운데 승소 가능성에 대한 관심이 집중되고 있다.

법조계는 충분히 승산이 있는 것으로 보고 있다. 의무 소홀을 지적하는 목소리까지 나온다.

28일 관련업계에 따르면 피해 회원 1030만여명 가운데 일부 회원들은 인터파크를 상대로 한 집단소송 과정에 돌입했다.

이들은 온라인 카페 '인터파크 개인정보유출 집단소송 공식카페', '소비자연합회' 등을 통해 서명을 진행하고 피해 사례를 수집하고 있다. 25일 개설된 인터파크 집단소송 공식카페는 27일 오후 4시 기준 회원 수 6000명을 돌파했다.

집단소송이 진행될 경우 가장 큰 쟁점은 '사측의 과실 여부'가 될 전망이다. 

정보통신망법 제64조에 따르면 방송통신위원회는 정보통신서비스 제공자가 적절한 정보보호 조치를 취하지 않은 채 이용자의 개인정보를 분실·도난·유출·위조·변조 또는 훼손한 경우, 위반행위와 관련된 매출액의 3% 이하 수준에서 과징금을 부과할 수 있다. 

현재 인터파크는 회원들의 개인 정보가 유출된 점을 인정·사과하면서도 고의나 실수가 아니라는 점을 강조하고 있다.

하지만 전문가들은 최초의 해킹 공격이 업무와 무관한 이메일을 통해 이뤄졌다는 점을 감안하면 이를 사측의 과실로 인정할 수 있다고 해석하고 있다. 사측에 따르면 최초의 악성코드 감염은 직원이 개인 이메일을 확인하는 과정에서 이뤄졌다. 첨부파일 다운로드 등과 관련해 충분한 보안 교육이 이뤄진 것으로 볼 수 없다는 설명이다.

개인 이메일 계정을 확인하는 과정에서 감염이 일어났다 하더라도 악성코드 활성화와 확산을 막는 예방조치가 이뤄지지 않아 피해가 커진 점은 과실로 볼 수 있다고 해석했다.

이와 관련해 한 보안 업계 관계자는 "문제가 된 APT 공격은 대비를 한다면 일정 수준 이상 철저하게 방어를 할 수 있는 부분"이라며 "감염뿐 아니라 고객 정보 서버까지 침입이 가능했다는 것은 인터파크의 보안 관리가 허술하다는 방증"이라고 설명했다.

(사진제공=인터파크 홈페이지 캡처)© News1
(사진제공=인터파크 홈페이지 캡처)© News1

사측의 과실이 인정될 경우에는 2차 피해가 발생하지 않더라도 손해배상을 해줘야 한다는 게 전문가들의 공통된 의견이다.

인터파크는 현재 이용약관을 통해 '회사는 개인정보 보호를 위해 (중략) 신용카드·은행계좌 등을 포함한 이용자 개인정보의 분실·도난·유출·변조 등으로 인한 이용자의 손해에 대한 모든 책임을 진다'고 명시하고 있다. 

이성섭 변호사는 "유출 자체에 대한 1차 피해와 제3자의 이용으로 인한 2차 피해 모두 손해배상이 예상된다"며 "(악성코드 대비 미흡시) 개인 정보를 취급하는 업무 종사자로서 당연히 주의를 기울여야 하는 의무를 소홀히 한 것에 해당할 수 있다"고 설명했다. 

또 개인 정보 유출 사실을 인지한 지 열흘이 넘어서야 회원들에게 통보한 점도 손해배상액에 영향을 줄 수 있다. 인터파크는 앞서 경찰 수사에 협조하기 위해 유출 사실을 2주간 알리지 않았다고 해명했지만 경찰은 이를 부인했다.

이 변호사는 "관련법은 '지체 없이' 통보할 것을 명시하고 있다"며 "늦은 통보 시점이 손해배상액을 산정하는데 참작사유가 될 수 있다"고 말했다.

'고의 또는 중대한 과실이 없는 경우에도 정보 유출에 대해 손해배상을 하겠다'는 별도 규정이 없을시 책임이 인정되기 어렵다는 일부 시각에 대해서는 "법정면책권을 포기하겠다는 선언에 불과하다"며 "무관하게 책임을 져야 한다"고 덧붙였다.

인터파크는 사측의 과실로 보기 어렵다며 발뺌하고 있다. 월 1회 정기적으로 보안 교육을 진행하고 백신 사용을 장려하는 등 철저한 보안관리를 해 왔다는 입장이다.

인터파크 관계자는 "액수를 밝힐 순 없지만 업계 최고 수준의 보안관리를 해 오고 있다"며 "APT 해킹이 은밀하게 행해지는 만큼 보안 교육이 있었는데도 이런 일이 발생한 것 같다"고 말했다.

이어 "악성코드 감염을 치명적인 사측의 과실로 해석하는 것은 무리가 있다"며 "법무법인 등 외부 전문가들과 피해 시나리오를 검토하고 있다"고 덧붙였다.


soho0901@

이런 일&저런 일

    더보기