디지털타임스

검찰이 결국 넥슨 개인정보유출사건에 전원 무혐의 처분을 내렸다.

서울중앙지검 첨단범죄수사2부는 온라인 게임 `메이플스토리'의 개인정보를 소홀하게 관리해 1320만명 이용자 개인정보를 유출시킨 혐의(정보통신망 이용촉진 및 정보보호법 위반)로 입건된 서민 넥슨 대표와 회사 관계자, 넥슨 법인에 대해 무혐의 처분했다고 3일 밝혔다. 이 사건은 지난 4월 경찰이 개인정보 보호를 위한 관리적 조치에 소홀했다는 기소의견으로 검찰에 송치했다.

경찰이 기소 의견으로 검찰에 송치한 사건을 검찰이 무혐의 처분했다는 점에서 현재 진행중인 다른 개인정보 유출사건 수사와 향후 발생할 개인정보 관련 사고에 미칠 영향이 적지 않을 전망이다.

5일 보안업계 한 전문가는 넥슨 무혐의 처분과 관련 "일정 수준 이상의 보안 기술ㆍ관리조치를 취해놓고 사고 발생 시 수사기관에 즉각 신고하기만 하면 면책 받을 수 있다"는 잘못된 `시그널'을 심어줄 수 있다고 우려했다.

하지만 검찰 발표를 두고 수사기관이 `봐주기식' 수사를 했다고 비난하기도 어렵다. 현행 정통망법상에서 기술적ㆍ관리적 보호조치를 입증하는 기준이 모호하기 때문이다. 법안에서 요구하는 일정 수준 이상의 조치를 해당 기업이 이행했다고 판단될 경우 책임이 면책되는 `포지티브 방식'으로 사측의 입증 책임을 묻기 때문이다.

해당 기업이 "백신을 설치하고 적절하게 업데이트 했으며 데이터베이스(DB)를 암호화한 뒤 일정 수준 이상의 보안 모니터링을 꾸준히 했다"는 사실을 적극적으로 입증하면 망법상 책임을 묻기 쉽지 않다는 설명이다. 또 내부자 공모 등에 의한 고의적인 유출이 아닌 경우 개인정보 유출을 당한 업체 역시 `피해자'로 봐야 한다는 인식이 깔려 있는 것도 기업에 과도한 처벌을 내리는 것을 주저하게 하는 요소이다. 이번 넥슨의 경우도 백업 서버를 통해 1320만명에 이르는 고객정보가 유출됐지만 주민번호와 비밀번호를 암호화시켰다는 이유로 결국 무혐의 처분을 받았다.

염흥열 순천향대 교수(정보보호학과)는 "현행 정통망법과 방통위 고시에서는 주민번호 등 민감정보 DB를 암호화하고 주요 정보에 대한 접근권한을 통제하는 등 일정 수준 이상의 조치를 언급하고 있는데 지능화ㆍ다양화되는 최신 위협 환경을 반영하지 못하고 있다"면서 "민감정보를 암호화시킬 때 OTP(일회용비밀번호) 항목을 의무화하는 `투 팩터 인증' 내용을 법안에 신설하는 등 기술적인 대응수준을 높이고 수사기관도 더 엄격한 기준으로 법을 적용할 필요가 있다"고 말했다.

한편, 검찰의 넥슨 무혐의 발표가 지난달 발생한 KT 870만 개인정보 유출사건에 미칠 영향에도 업계의 이목이 쏠리고 있다.

한 개인정보보호 전문가는 "KT건도 대리점을 가장한 `신종해킹'이었다는 점을 적극 어필하고 망법에서 요구하고 있는 보안조치를 취해왔다는 점을 입증하면 면책 받을 가능성이 높을 것"이라며 "대형업체의 개인정보 유출은 계속 이어지는데 법안에서는 이를 처벌하지 못하는 상황이 반복되면서 결국 소비자들만 피해를 입고 있다"고 말했다.

신동규기자 dkshin@

< Copyrights ⓒ 디지털타임스 & dt.co.kr, 무단 전재 및 재배포 금지 >