기업 인사이트

최근 법원과 한국인터넷진흥원(KISA), 개인정보보호위원회 등 규제당국은 기업을 타깃으로 한 전문 해커 집단의 지능형 지속 위협(APT) 공격 및 랜섬웨어(Ransomware) 사태에 대해, 기업의 디지털 자산 보호 실패와 고객 데이터 유출에 대한 법적 책임을 매우 엄격하게 판단하는 추세를 보이고 있습니다.

대기업뿐만 아니라 보안 인프라가 상대적으로 취약한 중소·중견기업, 공급망 허브 역할을 하는 협력업체들까지 해커들의 조직적인 피싱 이메일, 공급망 취약점 공격(Supply Chain Attack) 등으로 인해 시스템이 마비되거나 기밀 데이터가 통째로 다크웹(Dark Web)에 유출되어 법무법인을 찾는 경영진과 최고정보보호책임자(CISO)들이 급증하고 있습니다. 본 사건은 영리 목적으로 기업의 시스템을 파괴하고 금전을 요구하는 해킹 가해 행위와 이에 따른 기술적 방어 실패 여부를 둘러싼 분쟁으로, 기업이 법정 '기술적·관리적 보호조치' 의무를 다했는지와 불법 해킹 피해로 인한 불가항력성 인정 여부가 주요 쟁점이 된 사안입니다.

그러나 고도화되는 해킹 기법(사회공학적 기법, 제로데이 취약점 악용 등)에 대한 명확한 이해 없이 기존의 방화벽이나 백신 프로그램 도입 수준의 관행적인 보안 체계만 유지하다가 기습적인 해킹을 당해 청문회나 과징금 처분을 받거나, 의도치 않게 임직원 및 고객들로부터 대규모 민사상 손해배상 책임을 추궁당해 기업 존속 위기에 직면하는 경우가 많아 현장에서 억울함을 호소하는 목소리가 커지고 있습니다.

법원은 왜 기업 해킹 분쟁에서 보호조치 의무 이행을 중시할까: 정보통신망법 및 개정 개인정보보호법상 과실 책임 원칙

법원과 행정청이 해킹으로 인한 정보 유출 소송에서 가장 핵심적으로 보는 것은 사측이 사고를 막기 위해 '법정 보안 표준에 따른 예방 및 대응 조치를 다했는지 여부'입니다. 현행법상 해킹의 직접적인 가해자는 해커라 할지라도, 기업이 침입차단시스템 운영, 개인정보의 암호화, 접근 통제 권한 관리 등 법령이 명시한 '기술적·관리적 보호조치'를 소홀히 하여 해킹의 빌미를 제공했다면, 이는 기업의 관리 과실로 인정되어 막대한 과징금 부과 및 민법 제750조에 따른 불법행위 손해배상 책임이 성립하기 때문입니다. 만약 해커의 공격으로 인한 불가항력적인 피해임을 주장하여 책임을 면하려면, 당시 기업이 가용한 최신 보안 패치를 완료했고 침합 탐지 시스템이 정상 작동하는 등 최선의 방어 의무를 이행했다는 점을 객관적으로 입증해야만 배상 책임을 면하거나 제재 수위를 축소할 수 있습니다.

또한 최근 재판부는 무조건적인 피해 기업에 대한 징벌적 과징금 부과나 반대로 사측의 면책 주장 수용보다는, 해커가 동원한 공격 기술의 정밀도, 내부 직원의 보안 수칙 위반(계정 공유 등) 유무, 사고 발생 직후 신속한 신고 및 유출 통지 등의 사후 대응 노력을 꼼꼼히 따져보고 있습니다. 해커와의 불법적인 금전 협상(랜섬웨어 대가 지급) 여부 및 2차 피해 확산 방지 경위에 따라 경영진의 배임 책임 성립 여부와 과징금 감경 규모에 유연한 접근 기조를 공식화하고 있습니다.

전문 해커의 기업 타깃 공격, 경영진 입장에서 문제는 무엇인가

지능화된 해커 집단의 기습적인 공격이나 이로 인한 정보 유출 책임 추궁에 직면한 기업 경영진은 자사의 보안 및 리스크 관리 행위가 적법했음을 법리적으로 입증해야 하지만, 실무상 대응 기준의 모호성과 객관적 증거 확보의 어려움으로 인해 과도한 부담을 안게 됩니다.

1. 기술적 보호조치(불가항력적 해킹) 입증 기준의 모호함

   사측이 해커의 공격을 방어하기 위해 최선을 다했음을 주장하려면, 내부 시스템의 보안 로그와 접근 통제 프로세스가 적법하게 작동했다는 명확한 정황이 필요합니다.

   문제는 해커들이 침투 후 자신들의 흔적을 지우기 위해 시스템 로그를 조작·삭제하거나, 취약점 패치 주기와 실제 공격 시점이 미세하게 어긋나 자사의 방어 정당성을 뒷받침할 구체적인 방화벽 설정 기록, 보안 관제 로그, CISO의 정기 보안 점검 보고서 등이 온전하게 문서로 존재하지 않는 경우입니다. IT 부서의 재량이나 관행적인 외부 업체 위탁에만 의존했다면 소송이나 정부 조사 과정 속에서 기술적 무과실을 입증할 간접적 정황들을 촘촘히 엮어 입증해야 하므로, 경영진은 예상치 못한 법적 책임과 증명에 대한 큰 운영 비용을 부담하게 됩니다.

2. 정부 조사 및 규제기관 중심의 사후 자료 해석

   개인정보보호위원회나 KISA 등이 조사 후 발급하는 행정처분서에는 사측의 특정 서버 포트 개방 오류나 임직원 계정 관리 미흡 등을 지적하는 파편적인 취약점 분석 결과 등이 유력한 과실 증거로 포함되어 있는 경우가 많습니다. 그러나 이는 지능형 해커가 수개월간 은밀히 침투하는 과정에서 악용한 수많은 경로 중 단면일 뿐, 기업이 평소에 구축해 둔 거대한 전체 보안 시스템이 완전히 무효했다거나 고의로 방치했음을 입증하는 증거는 되지 못합니다.

   그럼에도 불구하고 결과 중심의 일률적 기준처럼 "해킹을 당해 정보가 유출되었으니 무조건 기업의 과실이다"라는 규제기관 및 피해자 측의 경직된 주장에 휘말려 초기 법적 반박 타이밍을 놓치는 경우가 많습니다. 단편적인 해킹 성공 사실의 유무보다 실제 사고 전후의 보안 인프라 투자 수준과 취약점 개선 노력의 선후 관계를 유연하게 밝혀내는 전략이 꾸준히 필요한 이유입니다.

3. 해커의 추가 협박과 연쇄적인 집단 소송 및 평판 리스크 우려

   해킹 분쟁은 단순히 시스템 복구로 끝나지 않고, 해커들이 "대가를 지불하지 않으면 다크웹에 기업 기밀과 고객 명단을 공개하겠다"라며 2차 협박을 가하는 격렬한 리스크를 동반합니다. 사측이 이에 대응하는 과정에서 법적·기술적 검토 타이밍을 놓쳐 해커의 요구에 휘말리거나, 유출 사실 통지 기한을 놓쳐 추가 행정 제재를 받을 경우, 수많은 이용자로부터 연쇄적인 집단 소송을 당함은 물론 기업의 대외적 신뢰도가 완전히 추락하여 결과적으로 과잉 책임과 기업 도산 리스크로 작용할 수 있다는 것이 실무적인 지적입니다.

지금 필요한 건 임기응변식 대처가 아니라 인시던트 대응 프로세스의 구조화

해커의 기업 공격 분쟁은 대개 기업의 핵심 기술 유출, 천문학적인 합산 위자료 청구 리스크와 함께 경영진의 고발 위험 등 막대한 압박을 동반합니다. 그러나 송사에 휘말린 경영진 당사자 입장에서는 당황하여 무조건적인 해커와의 협상에 응하거나 감정적으로 대립하기보다, 시점별 특성과 리스크 차이를 고려한 일률적인 정보보호 공시 정비 및 침해사고 대응(IR) 기록 관리가 예기치 않은 부담을 줄이는 지름길입니다.

경영진 및 보안책임자 입장에서 다음 항목들을 반드시 사전 점검할 필요가 있습니다.

특히 자사의 보안 시스템 상태가 실제 법정 의무 수준을 상회하는지 정확히 분류하고, 법적 책임이 발생하더라도 제재 범위를 최소화할 수 있도록 설명 가능성·모니터링·정보 고지 체계를 사전 구축하는 것이 중요해졌습니다.

사이버 해킹 대응은 기술적 방어를 넘어선 법적 리스크 관리의 출발점

고도화되는 글로벌 사이버 위협 속에서의 해킹 방어와 규제 대응은 단순히 방화벽을 높이는 것을 넘어, 기업의 지속 가능한 생존과 지배구조를 도모하는 리스크 관리의 새로운 기준이 됩니다. 법 적용 범위가 넓고 규제당국의 행정처분 및 법원의 판례 경향이 가해자인 해커만큼이나 보관자인 기업의 책임을 무겁게 묻는 방향으로 흐르고 있는 만큼, "우리의 사이버 보안 조치는 정당했는가?"라는 질문을 구체적인 보안 관제 문서·모의해킹 결과서·운영 매뉴얼에 준하는 정황 증거로 뒷받침할 수 있어야 합니다.

법무법인 대한중앙의 기업 및 정보보호전문변호사는 정보통신망법 및 개인정보보호법 개정에 따른 규제 대응, 사이버 침해사고 및 기술 유출 리스크 점검, 정부 조사 단계별 시나리오 및 답변서 작성 프로세스 설계, 보안 위탁 계약서 내 독소조항 여부 판단 기준 자문 등 다양한 영역에서 실무 중심의 대응 경험을 보유하고 있습니다. 귀사의 경영권과 비즈니스가 안정적으로 균형을 이루며 성장할 수 있도록 법무법인 대한중앙이 함께하겠습니다.