[리걸 스탠더드]`해킹`…처벌만 있고 배상은 없다

연초부터 야후 아마존 등 유명 인터넷 사이트가 해킹을 당하면서 해킹 공포가 전세계로 확산되고 있다. 해킹은 남의 전산망에 무단으로 침입해 자료를 빼내거나 파괴하는 행위.

해킹으로 인한 피해 보상은 법률적으로 뜨거운 쟁점이다. 강종구 변호사는 “해킹을 막아야 한다거나 해커를 처벌해야 한다는 것은 누구나 아는 상식”이라면서 “정작 사고가 생기면 어떻게 할 것인가 하는 점이 법적으로 가장 논란이 된다”고 지적했다. 이른바 ‘포스트 해킹’ 문제다.

미국 백악관이나 연방수사국(FBI) 홈페이지에 접속해 포르노 사진을 올려놓거나 장난기 어린 글을 쓰는 것은 애교로 봐줄 수도 있다. 그러나 실제로 경제적인 손해를 끼쳤을 때는 상황이 복잡해진다.

가장 흔하게 발생할 수 있는 피해 사례를 보자. 회사원 A씨는 카드 청구서를 받아보고 깜짝 놀랐다. 자신도 모르게 고가의 물건을 이것저것 구입한 것으로 돼 있었다.

카드회사의 조사를 통해 회원으로 가입한 인터넷 쇼핑몰에 해커가 침입해 자신의 신상정보를 알아낸 후 물건을 구입한 것으로 밝혀졌다.

A씨는 자신의 정보가 유출된 데 대해 인터넷쇼핑몰 운영업체인 B사가 책임을 져야 한다고 주장했지만 B사는 “우리는 최고 보안시스템을 갖추는 등 최선을 다했기 때문에 책임을 모두 떠안는 것은 부당하다”며 보안시스템 설치업체인 C사를 걸고 넘어졌다. B사는 자신의 보안시스템이 국내 최고 수준이라는 국가기관의 인증서까지 제시했다.

전자상거래가 확산됨에 따라 이런 유형의 소송이 국내외에서 봇물을 이룰 것으로 예상된다. 금융 전산망이 해킹을 당하면 카드를 도용해 수백만원어치의 물건을 산 것과는 비교도 안될 만큼 막대한 피해가 발생할 수도 있다.

해킹으로 인해 개인의 신용정보가 유출돼 피해를 보는 것은 카드를 잃어버리거나 도둑맞는 것과는 다르다. 신용카드라는 실체가 있을 때는 분실하거나 도난당한 사람도 책임이 있다.

하지만 해킹으로 인해 자신도 모르게 정보가 새나가면 책임 소재를 입증하기가 어려워진다. 그렇다고 전산망을 운영하고 있는 업체나 보안시스템을 설치한 업체가 전부 책임을 떠안아야 할지도 명확하지 않다. 해킹 기술이 하루가 다르게 발전하는 바람에 책임 한계를 가르기가 점점 복잡해지고 있는 것이다. 결국 해킹의 피해보상 문제는 전자상거래 산업 전체를 위축시킬 가능성도 있다.

해커에 대해선 한국도 형법이나 ‘전산망 보급 확장과 이용촉진에 관한 법률’ 등 여러 곳에 처벌 법규를 마련해 놓았다. 그러나 해킹으로 인한 피해 보상 문제에 대해선 이렇다 할 판례나 관련 법규가 없는 실정이다. 국내 중견 로펌의 한 변호사는 “해킹으로 인한 민사소송 문제를 다룰 전문 변호사를 한국에서 찾아보기 어렵다”고 털어놓았다.

해킹 행위 자체에 대해선 이미 대부분의 국가에서 처벌 규정을 마련하고 있다. 가장 먼저 입법화한 나라는 미국으로 85년 텍사스주에서 처음으로 해커를 처벌할 수 있는 ‘텍사스주 컴퓨터 범죄법’을 제정했다.

컴퓨터 범죄 입법이 미국 대부분의 주와 연방정부로 본격적으로 확대된 계기는 88년 11월2일 발생한 로버트 T 모리스 사건. 당시 23세 대학원생이던 모리스는 현재의 컴퓨터 바이러스와 비슷한 ‘인터넷 웜’이라는 프로그램을 이용해 미국을 비롯해 각국의 인터넷망을 파괴했다. 미 행정부는 전산망 복구를 위해 48시간 동안 800억원이라는 막대한 비용을 쏟아부어야 했다.

‘해커의 천국’으로 불릴 정도로 수많은 해커가 활동하는 미국은 관련 법규도 해커에 대한 처벌에 포커스를 맞추고 있다. 미국 연방형법은 타인의 전산망에 단순히 침입하는 것만으로도 징역 10년이라는 중형에 처할 수 있도록 규정하고 있다. 해킹의 결과를 판단 기준으로 삼는 한국과 달리 컴퓨터망에 침입하는 자체를 중대 범죄로 취급한다.

일본에서는 전산망에 대한 접근 자체를 범죄로 보는 견해에 대해 이견이 제기되고 했다. 지난해 4월 일본 정부는 남의 사용자명(ID)과 패스워드를 악용해 컴퓨터망에 접근하는 것을 금지하는 ‘부정 액세스 행위의 금지 등에 관한 법률안’을 발표했다. 법률안이 공개된 후 일부 변호사를 중심으로 권한이 없는 접근 자체를 범죄로 규정하는 데 대해 문제점을 제기하고 나섰다. 단순히 상점에 들어간 것은 범죄가 되지 않고 물건을 훔쳤을 때만 범죄가 성립하듯 웹 서핑을 하다가 발견한 회원제 사이트에 단순한 호기심만으로 들어간 네티즌까지 범법자로 모는 것은 잘못이라는 시각이다. 악질 해커를 잡기보다 오히려 단순 범죄자를 양산할 우려가 있다는 것이다.

해킹이 발생하면 개방성이라는 인터넷의 특성상 피해가 순식간에 널리 확산되기 쉽다. 지난해 4월 14일 미국 캘리포니아에 자리잡은 페어게인이라는 업체의 주식이 영문 모르게 갑자기 치솟았다. 노스캐롤라이나 출신의 한 대학원생이 주식시세 관련 사이트인 블룸버그 홈페이지에 접속해 페어게인에 대한 거짓 정보를 올려놓은 것이 발단이었다. 그가 만든 거짓 정보가 순식간에 수백만명의 투자자에게 퍼졌고 ‘사자’ 주문이 몰려들었다.

해커들은 비자도 없이 자유자재로 국경을 넘나들기 때문에 처벌에 어려움이 따른다. 싱가포르에서는 지난해 방송국 등 몇몇 웹사이트에 공격을 감행한 해커를 알아냈지만 범인이 외국인이거나 해외에 거주해 처벌하지 못했다.

▼국내 전자쇼핑몰 "해킹, 남의 일 아니다"▼

외국 유명 사이트가 잇따라 해킹을 당하면서 최근 한국 보험업계가 때아닌 특수를 누리고 있다. 전자쇼핑몰 업계가 해킹 사고에 대비해 서둘러 보험에 가입하고 있기 때문.

롯데인터넷백화점은 지난달 말 총 보상금액이 1억원인 국제화재의 ‘넷 시큐어 종합보험’에 가입했다. 현대인터넷백화점도 조만간 현대해상화재보험의 같은 상품에 가입할 예정. 넷 시큐어종합보험은 해킹이나 내부 직원에 의해 회원의 개인정보가 유출돼 피해를 보았을 때 500만원까지 보상한다. 롯데인터넷백화점은 피해 금액이 500만원을 초과하면 회사에서 보상해줄 방침.

인터파크는 지난해 9월초 고객정보 유출에 대해 1인당 최고 300만원까지 보상하는 보험에 들었다. 한솔CS클럽은 삼성화재와 ‘네티즌 안심보험’(가입기간 1년) 계약을 체결하고 개인정보 누출로 다른 사람이 물품을 구입해 피해를 본 고객에게 최고 1억원까지 보상해 주고 있다.

전자상거래업체들은 이와 함께 자체 보안시스템을 강화하는 노력을 기울이고 있다. 삼성몰은 보안체계 강화를 위해 최근 쇼핑몰 보안시스템을 전면 교체했다. 메이저급 쇼핑몰들이 이처럼 이중 삼중의 안전장치를 마련하고 있는데 비해 중소형 쇼핑몰들은 해킹에 대해 거의 무방비 상태라고 전문가들은 지적한다. 한국에 개설된 인터넷 쇼핑몰 가운데 실제 거래가 이뤄지는 쇼핑몰은 700∼800개에 이르지만 대부분 적자를 면치 못하고 있다. 월 500만원 이상 매출을 기록하는 업체는 불과 20% 미만. 보안시스템에 투자하는 등 안전장치를 마련하는 것은 언감생심 꿈도 못꾸는 실정이다.

<홍석민기자>smhong@donga.com

▼전문가 의견▼

해킹의 법률 문제는 해커에 대한 처벌 수준의 문제만이 아니다. 거래 당사자 또는 네트워크 제공자 사이에 해킹 방지에 대한 책임이 누구에게 있는 것인지, 해킹 사고로 인한 사회적 손실을 누구에게 어떻게 부담시킬 것인지에 대한 법률적 해답을 미리 마련해 놓아야 한다.

해킹은 피해 규모가 거대하고 피해자가 많다. 시간적 지역적 한계가 없고 추적도 쉽지 않으며 입증하기가 어렵다. 종래 국내법에 의한 전통적인 법률행위, 손해배상, 위험부담 및 입증책임의 법리를 그대로 적용할 수 있을 것인지에 대한 논의가 필요하다. 인터넷의 속성에 기초한 새로운 거래 패러다임에 맞는 새로운 규칙이 마련돼야 한다. 현재 학계나 실무계에서 이론적 논의를 활발하게 하고 있지만 최종적인 결론은 아직 나지 않았고 신뢰할 만한 판례도 아직 없다. 정보법학 분야의 최대 화두라고 할 수 있다.

강종구(법무법인 태평양 보험해상팀 변호사)

▽특별취재팀〓황호택(기획팀장) 정성희(사회부 차장) 최영훈(〃) 이인철(기획팀) 박래정(경제부) 신치영(〃) 홍석민(〃) 김갑식(문화부) 이성주(생활부 기자)

▽법률자문 및 자료도움〓법무법인 태평양