랩서스는 세계 주요기업을 해킹하고 협박하는 집단으로 2021년 12월 10일 브라질 보건부 사이트를 공격하여 50테라바이트(TB) 데이터를 삭제한 혐의로 올해 3월 영국에서 일당으로 의심되는 7명이 체포되었다는 뉴스가 전해졌다. 이후 유사한 수법이 조금은 뜸해졌다.

랩서스로 인하여 브라질 보건복지부의 수백만 명 코로나19 백신 접종 데이터가 삭제되었다. 이후에도 1월에는 TV채널과 신문사를 보유한 OO미디어 그룹이 공격 받아 웹사이트가 마비되고 방송이 중지되었고, 2월과 3월에도 계속해서 게임회사, 보안전문회사 등이 공격 당해 기업의 가치가 심각하게 훼손됐다.

그런데 이번에는 비슷한 수법으로 NFT(대체불가토큰)가 계속 공격을 당하고 있다.

 

 

▲ [사진=픽사베이 제공]
2021년 2월 19일, 세계 최대의 NFT 장터 오픈씨에서 17명의 사용자가 피싱(Phishing) 공격에 속아 총 170만 달러 상당의 NFT를 도난당했다.

당시 수법은, 업그레이드 통지 메일로 위장한 피싱 메일을 보내 사용자들을 피싱 웹사이트로 유인한 뒤 그들을 속여 NFT를 범인들의 전자지갑으로 보내게 했고 4월 25일, 세계 최대의 NFT 프로젝트 ‘지루한 원숭이들의 요트클럽’의 운영자 공식 인스타크램을 해킹한 뒤 이 계정으로 사용자들에게 사은품을 주겠다고 피싱링크를 제공해 300만 달러 상당의 NFT를 훔쳤다.

이와 같이 대부분 관리자 계정을 훔친 뒤 업그레이드나 사은품 등 사용자들의 흔한 PC 습관과 심리를 활용하여 피싱링크를 제공하고 정보를 제공받아 NFT를 탈취한다.

그런데 해커를 잡지 못하는 한, 피해자로서는 결국 관리자 계정을 제대로 관리하지 못한 기업을 대상으로 침해구제를 요구할 수밖에 없다.

이에 대법원은 현재 구(舊) 정보통신서비스 제공자가 ‘구 정보통신망 이용촉진 및 정보보호 등에 관한 법률’(구 정보통신망법) 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 판단하는 기준을 다음과 같이 판시하고 있다.

〝① 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행, ② 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영, ③ 접속기록의 위조·변조 방지를 위한 조치, ④ 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술 등을 이용한 보안조치, ⑤ 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치, ⑥ 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치’를 규정하였으므로 정보통신서비스 제공자는 구 정보통신망법 제28조 제1항 등에서 정하고 있는 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여야 할 법률상 의무를 부담한다.

정보통신서비스 제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결하면서, 이용자로 하여금 이용약관 등을 통해 개인정보 등 회원정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면, 정보통신서비스 제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실·도난·누출·변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상의 의무를 부담한다.

즉, 수집하는 정보만큼 안전성 확보에 필요한 보호조치도 취하여야 한다. 그런데 정보통신서비스가 ‘개방성’을 특징으로 하는 인터넷을 통하여 이루어지고, 정보통신서비스 제공자가 구축한 네트워크나 시스템과 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 ‘해커’ 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 않다.

또한 해커 등은 여러 공격기법을 통해 정보통신서비스 제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스 제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적이다.

이처럼 정보통신서비스 제공자가 취해야 할 개인정보의 안전성 확보에 필요한 보호조치에 관해서는 고려되어야 할 특수한 사정이 있다.

그러므로 정보통신서비스 제공자가 구 정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는, 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종·영업규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여 야 한다. (대법원 2018. 1. 25. 선고 2015다24904, 24911, 24928, 24935 판결)〞

결국 바로 그 ‘당시 사회통념상 합리적으로 기대 가능한 정도의’ 보호조치를 입증하는 것이 개인정보의 안전성 확보에 필요한 기업의 의무 위반 여부를 판단하는 관건인 것이다.

[박정인 단국대 연구교수·법학박사]

 

[ⓒ 메가경제. 무단전재-재배포 금지]