금융회사에 무과실 책임
국가도 막지 못한 일을
돈으로 갚으라는 얘기
3월 20일 주요 방송사와 은행이 동시다발적으로 해킹을 당해 전산망이 마비되는 사고가 발생했다. 보름 후에는 해커 집단 어나너머스가 북한의 대남선전 사이트 ‘우리민족끼리’를 해킹해 회원정보를 폭로했다. 1주일 뒤인 4월 10일 민·관·군 합동대응팀은 해킹사고의 중간조사 결과를 발표하면서 2009년 디도스(DDos) 사태와 2011년 농협 전산망 파괴를 시도한 북한의 대남 해킹 수법과 일치한다고 밝혔다.
같은 날 국회 정무위원회는 2012년 정부입법 형태로 제안되었던 전자금융거래법 개정안을 서둘러 통과시켰다. 이 개정안은 전자금융거래를 위한 전자적 장치 또는 정보통신망에 침입해 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고에 대해서는 사업자가 이용자에게 손해를 배상하도록 했다. 금융회사 등의 지배범위 밖에 있는 인터넷망 해킹 사고로 인해 이용자가 손해를 입은 경우에도 과실 유무를 불문하고 손해를 배상토록 한 것이다.
“재력있는 사람이 피해를 보상하라”는 이른바 ‘딥포켓’ 이론에 입각해 돈 있는 사업자가 거래의 안전을 보장하고 무조건 손해를 배상하라는 것은 금융소비자 보호 측면에서 일견 타당성이 있어 보인다. 그러나 3·20 해킹사고나 어나너머스의 회원정보 유출 사건을 대입해 보면 엉뚱한 결과가 우려된다.
북한에는 수천명의 사이버 전사가 활동을 하고 있는 것으로 알려졌다. 이 중 일부는 외화벌이를 위해 한국 업자와 접촉해 돈을 받고 그들이 해킹으로 빼낸 1억4000만여건의 국내 개인정보를 건네주거나, 그들이 만든 프로그램으로 불법 선물거래 사이트까지 개설해 이득을 챙기게 해줬다고 한다. 3·20 해킹사고도 이미 8개월 전부터 북한 내부 PC가 남한의 금융회사 전산시스템에 1590회나 접속해 악성코드를 심어놓은 것으로 나타났다. 아직 드러나지 않은 것까지 감안한다면 남한의 수많은 좀비PC가 D데이 최종 명령을 기다리고 있을지 모른다.
합동대응팀의 해킹 대책에 같은 날 통과한 법안을 적용하면 무슨 사태가 일어날지 명약관화해진다. 이미 해커의 지능형지속위협(APT) 공격으로 먹잇감이 되어버린 PC나 전자금융거래용 전자적 장치에 숨어 있는 트로이목마가 금융회사 등의 시스템을 먹통으로 만든다. 이 때문에 손해를 본 사람은 집단소송을 벌여 금융회사에 천문학적인 손해배상을 요구할 것이다. 이렇게 돈벌이가 쉬울진대 스스로 해커에게 좀비PC가 되기를 원하는 사람이 줄을 이을 것이다.
전자금융거래법 개정안은 금융회사 등의 정보보안 강화 및 사고에 따른 처벌ㆍ보상기준을 규정하고 있지만, 다른 측면을 간과하고 있다. 해킹을 조사하는 데 엄청난 시간과 비용이 들 뿐만 아니라 원인 규명도 거의 불가능한 실정이므로 금융회사가 이용자의 고의·중과실을 입증하기란 현실적으로 불가능하다. 3·20 해킹 때 밝혀졌듯이 APT 공격을 현재의 보안솔루션으로 방어할 수 없는 터에 금융회사 등에 대해 사실상 면책조항도 없이 무과실 책임을 지우는 셈이다. 국가도 못 막는 일을 돈을 다루는 금융회사가 돈으로 갚으라는 것은 헌법정신에도 어긋난다.더욱이 금융회사가 자구책으로 사고 피해를 최소화하기 위해 과도한 보안장치를 구축하거나 거래한도를 줄인다면 이용자의 불편을 초래할 수 있다. 또 금융회사는 이에 따른 소송비용이나 피해보전용 보험료 부담으로 전자금융 수수료를 인상할 공산이 크다. 해킹에 따른 무과실 책임 조항을 존치시킬 경우 국제 해커는 한국의 금융회사를 만만하게 보고 덤빌 것이 틀림없다.
요즘 싸이의 신곡이 전 세계적으로 큰 반응을 얻고 있다고 한다. 유튜브에 다음과 같은 패러디 뮤직 비디오가 나올지 모른다. 해커가 시건방춤을 추면서 노래를 부른다. “알랑가몰라 한국의 입법자들, 한국의 은행이 우리의 현금인출기라는 걸.” 절대로 이런 일이 벌어져서는 안될 것이다.
