옥션의 개인정보 유출 사건에 대해 법원이 무죄 판결을 내림에 따라 앞으로 우리나라의 개인정보 보안이 더 취약해지는 것이 아니냐는 우려가 제기되고 있다. 법원이 기업의 정보보호 책임을 '법적 테두리'로 한정하면서 기업들의 정보보호 투자에 소홀해질 수 있기 때문이다. 이 때문에 보안업계에서는 중국을 비롯한 해커들의 공격 수법이 갈수록 교묘해지는 점을 감안해 기업의 정보보호 의무를 더 강화해야 한다고 목소리를 높이고 있다. ◇기업 보안투자 축소 우려=옥션 사건의 판결과 관련해 보안업계는 "법원이 지나치게 보수적인 판단을 내렸다"며 아쉬움을 나타냈다. 특히 중국 해커들의 공격이 갈수록 기승을 부리고 있는 가운데 지난해 온 나라를 공포 속에 몰아넣었던 디도스(DDoSㆍ분산서비스거부) 공격의 악몽이 채 가시지 않은 상황에서 나온 판결이라는 점에서 우려하는 분위기다. 보안업계의 한 관계자는 "지난해 7월 디도스 사태 이후 정부와 민간 모두 정보보호 투자에 대한 관심이 커지고 있는 상황에서 나온 판결이라는 점에서 충격적"이라며 "특히 민간 기업은 물론 정부기관까지 중국과 동구권 해커들의 공격 표적이 되고 있는 현실을 법원이 간과한 것 같다"고 말했다. 업계에서는 이번 판결이 그렇지 않아도 다른 나라에 비해 뒤떨어진 기업들의 보안 투자를 더 위축시키는 것이 아니냐는 목소리가 나오고 있다. 실제로 세계 보안시장은 지난 6년간 연평균 16%가 넘게 고성장했지만 우리나라는 고작 5.67%에 그쳐 세계 평균의 3분의1 수준에 불과했다. 이에 따라 세계시장에서 차지하는 국내 시장 비율도 2003년 2.14%에서 2008년에는 1.32%로 뚝 떨어진 상태다. 특히 국내 민간기업 4곳 중 3곳의 정보화 투자 총액 대비 정보보호 관련 투자비율이 3%가 채 안 된다. 따라서 이번 판결로 기업들이 '법이 정한 최소한의 범위'로만 투자를 제한할 가능성이 커졌고 이렇게 될 경우 우리나라는 해커들의 먹잇감이 될 가능성이 높다는 지적이다. 업계의 한 관계자는 "우리나라는 정보기술(IT) 환경에 비해 정보보호 투자액이 너무 낮은 상황"이라며 "정보 인프라 환경에 맞는 투자가 이뤄져야 하는데 이번 판결이 역효과를 가져오지 않을까 하는 생각도 든다"고 말했다. ◇법원 "기업의 보안 책임은 법정한도까지만"=이번 판결의 쟁점은 1,000만명에 달하는 고객들의 개인정보의 유출 사고에서 대해 과연 옥션이 정보보호의무를 다했느냐 하는 것이었다. 다시 말해 기업 정보보호 책임의 수준이 과연 어디까지인가 하는 점이 판결의 초점이었다. 이에 대해 재판부는 기업 정보보호 책임의 범위를 '법이 정한 수준'으로 한정했다. 재판부가 '옥션은 정해진 기준(해킹방지 의무)을 어겼다고 볼 근거가 없다'고 밝힌 것도 이 때문이다. 옥션은 법에 정한 책임을 다했으며 이번 사고는 어쩔 수 없이 발생한 것이었다는 판단으로 해석된다. 서울중앙지법 민사합의 21부(임성근 부장판사)는 "해킹사고로 인한 개인정보 유출에 대한 기업의 책임을 묻기 위해서는 기업이 해킹 사고를 방지하기 위한 기술적ㆍ관리적 조치를 소홀히 해 사고를 예방하지 못한 경우라야 하는데 옥션은 민법상 불법행위에 해당하는 과실이 없다"고 밝혔다. 재판부는 특히 판결문에서 "방화벽을 설치하는 것은 법이 정한 의무가 아니다"라고 밝혀 이를 더욱 분명히 했다. 하지만 옥션에 대한 판결은 불과 두달 전인 지난해 11월 LG텔레콤의 개인 정보 유출에서 보여준 법원의 판단과 사뭇 다른 것이다. 당시 LG텔레콤의 개인정보 유출 사건을 담당했던 서울중앙지법 민사 27부는 "기술수준에 비해 보안이 현저히 취약한 시스템을 운영하는 등 주의 의무를 위반했다"고 판시했다. 개인정보가 누출됐다면 기업이 법에서 정한 보안 시스템을 운영했다고 하더라도 손실책임을 져야 한다는 것이었다. 이에 따라 앞으로 회사의 고객정보 보호를 위한 사전 기술적 조치 노력을 어디까지 인정해 줄 것인지를 놓고 업계 안팎에서 뜨거운 공방이 예상된다.