GDPR 1주년에 내려진 충격적인 판결…개인정보 보호 책임은 누구에게?
2013년 조지아 주 노동청 직원의 실수…책임질 사람 하나 없는 사건
[보안뉴스 문가용 기자] 유럽연합의 새로운 개인정보보호법인 GDPR이 시행된 지 1년이 막 지나가는 시점에서 미국 조지아 주의 대법원이 “주 정부는, 주 정부가 저장하고 있는 주민들의 개인정보를 보호해야 할 불가분의 의무를 가지지 않는다”고 판결을 내렸다.
[이미지 = iclickart]
이는 지난 2013년에 일어난 사건에 대한 최종 판결 내용이다. 조지아 주 산하 노동청에서 근무하던 직원이 실수로 약 1천 명에게 각종 개인정보가 담긴 스프레드시트를 이메일로 발송한 사건이다. 당시 이 스프레드시트에는 4457명의 이름, 사회 보장 번호, 전화번호, 이메일 주소가 저장되어 있었다. 이들은 주 정부에 수당을 신청한 사람들이었다.
이 4457명 중에 토마스 맥코넬(Thomas McConnell)이라는 사람이 있었다. 부주의, 신의성실의 의무 위반, 사생활 침해를 주장하며 노동청을 상대로 집단소송을 신청했다. 이 사건은 수년 만에 최고 법 집행 기관까지 올라갔지만 결국 기각됐다.
대법원이 이 소송을 기각시켰다는 건, “주 정부에 주민들의 개인정보를 보호할 의무가 전혀 없다”는 뜻이 되지는 않는다. 다만 “그러한 책임이 자동으로 부여되는 건 아니다”라는 뜻이라고 언론들은 해석하고 있다. 맥코넬 사건의 경우 그 책무를 주 정부 기관에 부여하려면(자동으로 되는 게 아니므로) 별도의 조건이 충족되어야만 했다는 뜻이다.
먼저 맥코넬이 주장한 ‘부주의’와 관련하여 법원은 “수당 신청자들의 데이터를 주 정부가 반드시 보호해야만 한다는 규정이 없다”며 기각시켰다. 또한 ‘타인을 불합리한 위험에 처하게 하지 않는다’는 관습법(1982년 판례) 역시 이 사건에 적용하기 힘들다고 판결을 내렸다. 사회 보장 번호 노출을 금지시키는 규정이 있긴 하지만 ‘의도적인 행위’에 대해서만 다루고 있기에 지난 2013년의 사건과는 무관하다고 설명하기도 했다.
신의성실의 의무를 위반했다는 주장에 대해서 법원은 “이 사건으로 인해 부당한 이익을 보는 공무원은 아무도 없었고, 맥코넬 본인과 노동청 사이의 특별한 기밀 보호 협약이 체결된 일이 없었다”며 기각 판결을 내렸다.
마지막으로 사생활 침해가 발생했다는 주장에 대해서 법원은 “이번에 유출된 정보는 이름과 사회 보장 번호, 집 전화번호, 이메일 주소, 연령일뿐”이라며, “이러한 정보는 개인의 명예를 손상시키지 않는 것이 보통”이라고 기각시켰다. 수치감을 줄 수 있는 사실에 대한 공개에 대해서만 사생활 침해를 주장할 수 있다는 설명도 덧붙였다.
이 판결문은 논란을 불러일으켰다. 수당을 신청했다는 사실을 친구나 가족에게 알리고 싶지 않을 수 있다는 주장들이 나왔다. 이를 예상했다는 듯이 대법원은 “명예를 훼손시키는 정보가 유출된 것이라고 해도 이번 사건에서는 폭력적이거나 혐오스러운 정보가 담겨있는 게 아니기 때문에 사생활 침해라고 볼 수 없다”는 내용도 판결문 안에 집어 넣은 상태였다.
이 판결에 대해 보안 업체 타이코틱(Thycotic)의 CISO인 테렌스 잭슨(Terence Jackson)은 “굉장히 안 좋은 판례가 생겼다”고 말했다. 최근 들어 주 정부 기관과 시청 등이 랜섬웨어 공격자들의 잦은 표적이 되고 있는데, 이 판례 덕분에 공격을 받은 기관들은 ‘책임을 지지 않는다’는 스탠스를 유지할 수 있을 것으로 보인다는 것이다. “특히 비승인 정보 공개에 대한 책임을 주 정부가 지지 않는다는 건 위험합니다. 정부 기관만큼 개인 식별 정보를 풍부하게 가지고 있는 곳도 드물기 때문입니다.”
세계적인 로펌인 웜블 본드 디킨슨 LLP(Womble Bond Dickinson LLP)는 미국 내 고객들에게 경고성 서신을 발송했다. 조지아 주의 판결이 “프라이버시와 관련한 이슈의 전체 지형도를 바꿀 만한 것”이라는 내용이 담겨 있었다. “그러므로 조지아 주 기관들과 업무상 계약을 맺고, 개인정보를 공유해야만 하는 조직이 있다면 다시 한 번 생각하고, 신중에 신중을 기하셔야 합니다. 그리고 정보보호에 대한 내용을 계약서에 반드시 집어넣으십시오.”
법부법인 알스톤 앤 버드(Alston & Bird)의 개빈 레인크(Gavin Reinke)의 경우 블로그를 통해 “타 기관이나 업체에 의해 개인정보 침해 피해를 입고 소송을 건 사람들이 상당히 불리해질 것으로 보인다”는 전망을 밝히기도 했다. “부주의를 주장하는 경우가 많았는데, 이제 조지아 주 대법원의 판결문을 가지고 빠져나가는 경우가 늘어날 겁니다.”
결국 미국 내 주마다 개인정보와 프라이버시를 보호하는 데 필요한 규정을 해석하고 적용하는 게 다르다는 사실이 이번 사건을 통해 부각됐다는 의견도 있다. “결국 연방 정부 차원에서 통일된 사생활 보호법 혹은 개인정보 보호 책무에 관한 법을 마련해야 한다는 뜻이 됩니다. GDPR이 유럽 내에서 공통되게 적용되는 것처럼 말이죠. 미국도 모든 주가 공통되게 지켜야만 하는 프라이버시 보호법이 필요합니다.” 레이크의 설명이다.
클라우드 보안 업체 파일클라우드(FileCloud)의 COO인 벤캇 라마사미(Venkat Ramasamy)는 여기에 동의한다. “공공 기관이 시민들의 개인정보를 책임지고 보호하는 건 당연한 이치입니다. 적어도 시민들이라면 자신의 개인정보를 공공 기관에서 보호해줄 것이라고 기대하고 있죠. 이번 조지아 주에서의 판결 때문에 오히려 프라이버시 보호를 위한 연방법을 촉구하는 목소리가 높아질 것으로 예상합니다.”
3줄 요약
1. 미국 조지아 주, “주 기관이라고 해서 개인정보 자동으로 보호해야 하는 건 아니다”
2. 2013년 발생했던 ‘실수 발송’ 사건에 대해 주 정부 기관의 책임은 하나도 없는 것으로 결론.
3. 위험한 판례 될 수 있다는 우려의 목소리 각계 각층에서 나오고 있는 중.
[국제부 문가용 기자(globoan@boannews.com)]
2013년 조지아 주 노동청 직원의 실수…책임질 사람 하나 없는 사건
[보안뉴스 문가용 기자] 유럽연합의 새로운 개인정보보호법인 GDPR이 시행된 지 1년이 막 지나가는 시점에서 미국 조지아 주의 대법원이 “주 정부는, 주 정부가 저장하고 있는 주민들의 개인정보를 보호해야 할 불가분의 의무를 가지지 않는다”고 판결을 내렸다.
[이미지 = iclickart]
이는 지난 2013년에 일어난 사건에 대한 최종 판결 내용이다. 조지아 주 산하 노동청에서 근무하던 직원이 실수로 약 1천 명에게 각종 개인정보가 담긴 스프레드시트를 이메일로 발송한 사건이다. 당시 이 스프레드시트에는 4457명의 이름, 사회 보장 번호, 전화번호, 이메일 주소가 저장되어 있었다. 이들은 주 정부에 수당을 신청한 사람들이었다.
이 4457명 중에 토마스 맥코넬(Thomas McConnell)이라는 사람이 있었다. 부주의, 신의성실의 의무 위반, 사생활 침해를 주장하며 노동청을 상대로 집단소송을 신청했다. 이 사건은 수년 만에 최고 법 집행 기관까지 올라갔지만 결국 기각됐다.
대법원이 이 소송을 기각시켰다는 건, “주 정부에 주민들의 개인정보를 보호할 의무가 전혀 없다”는 뜻이 되지는 않는다. 다만 “그러한 책임이 자동으로 부여되는 건 아니다”라는 뜻이라고 언론들은 해석하고 있다. 맥코넬 사건의 경우 그 책무를 주 정부 기관에 부여하려면(자동으로 되는 게 아니므로) 별도의 조건이 충족되어야만 했다는 뜻이다.
먼저 맥코넬이 주장한 ‘부주의’와 관련하여 법원은 “수당 신청자들의 데이터를 주 정부가 반드시 보호해야만 한다는 규정이 없다”며 기각시켰다. 또한 ‘타인을 불합리한 위험에 처하게 하지 않는다’는 관습법(1982년 판례) 역시 이 사건에 적용하기 힘들다고 판결을 내렸다. 사회 보장 번호 노출을 금지시키는 규정이 있긴 하지만 ‘의도적인 행위’에 대해서만 다루고 있기에 지난 2013년의 사건과는 무관하다고 설명하기도 했다.
신의성실의 의무를 위반했다는 주장에 대해서 법원은 “이 사건으로 인해 부당한 이익을 보는 공무원은 아무도 없었고, 맥코넬 본인과 노동청 사이의 특별한 기밀 보호 협약이 체결된 일이 없었다”며 기각 판결을 내렸다.
마지막으로 사생활 침해가 발생했다는 주장에 대해서 법원은 “이번에 유출된 정보는 이름과 사회 보장 번호, 집 전화번호, 이메일 주소, 연령일뿐”이라며, “이러한 정보는 개인의 명예를 손상시키지 않는 것이 보통”이라고 기각시켰다. 수치감을 줄 수 있는 사실에 대한 공개에 대해서만 사생활 침해를 주장할 수 있다는 설명도 덧붙였다.
이 판결문은 논란을 불러일으켰다. 수당을 신청했다는 사실을 친구나 가족에게 알리고 싶지 않을 수 있다는 주장들이 나왔다. 이를 예상했다는 듯이 대법원은 “명예를 훼손시키는 정보가 유출된 것이라고 해도 이번 사건에서는 폭력적이거나 혐오스러운 정보가 담겨있는 게 아니기 때문에 사생활 침해라고 볼 수 없다”는 내용도 판결문 안에 집어 넣은 상태였다.
이 판결에 대해 보안 업체 타이코틱(Thycotic)의 CISO인 테렌스 잭슨(Terence Jackson)은 “굉장히 안 좋은 판례가 생겼다”고 말했다. 최근 들어 주 정부 기관과 시청 등이 랜섬웨어 공격자들의 잦은 표적이 되고 있는데, 이 판례 덕분에 공격을 받은 기관들은 ‘책임을 지지 않는다’는 스탠스를 유지할 수 있을 것으로 보인다는 것이다. “특히 비승인 정보 공개에 대한 책임을 주 정부가 지지 않는다는 건 위험합니다. 정부 기관만큼 개인 식별 정보를 풍부하게 가지고 있는 곳도 드물기 때문입니다.”
세계적인 로펌인 웜블 본드 디킨슨 LLP(Womble Bond Dickinson LLP)는 미국 내 고객들에게 경고성 서신을 발송했다. 조지아 주의 판결이 “프라이버시와 관련한 이슈의 전체 지형도를 바꿀 만한 것”이라는 내용이 담겨 있었다. “그러므로 조지아 주 기관들과 업무상 계약을 맺고, 개인정보를 공유해야만 하는 조직이 있다면 다시 한 번 생각하고, 신중에 신중을 기하셔야 합니다. 그리고 정보보호에 대한 내용을 계약서에 반드시 집어넣으십시오.”
법부법인 알스톤 앤 버드(Alston & Bird)의 개빈 레인크(Gavin Reinke)의 경우 블로그를 통해 “타 기관이나 업체에 의해 개인정보 침해 피해를 입고 소송을 건 사람들이 상당히 불리해질 것으로 보인다”는 전망을 밝히기도 했다. “부주의를 주장하는 경우가 많았는데, 이제 조지아 주 대법원의 판결문을 가지고 빠져나가는 경우가 늘어날 겁니다.”
결국 미국 내 주마다 개인정보와 프라이버시를 보호하는 데 필요한 규정을 해석하고 적용하는 게 다르다는 사실이 이번 사건을 통해 부각됐다는 의견도 있다. “결국 연방 정부 차원에서 통일된 사생활 보호법 혹은 개인정보 보호 책무에 관한 법을 마련해야 한다는 뜻이 됩니다. GDPR이 유럽 내에서 공통되게 적용되는 것처럼 말이죠. 미국도 모든 주가 공통되게 지켜야만 하는 프라이버시 보호법이 필요합니다.” 레이크의 설명이다.
클라우드 보안 업체 파일클라우드(FileCloud)의 COO인 벤캇 라마사미(Venkat Ramasamy)는 여기에 동의한다. “공공 기관이 시민들의 개인정보를 책임지고 보호하는 건 당연한 이치입니다. 적어도 시민들이라면 자신의 개인정보를 공공 기관에서 보호해줄 것이라고 기대하고 있죠. 이번 조지아 주에서의 판결 때문에 오히려 프라이버시 보호를 위한 연방법을 촉구하는 목소리가 높아질 것으로 예상합니다.”
3줄 요약
1. 미국 조지아 주, “주 기관이라고 해서 개인정보 자동으로 보호해야 하는 건 아니다”
2. 2013년 발생했던 ‘실수 발송’ 사건에 대해 주 정부 기관의 책임은 하나도 없는 것으로 결론.
3. 위험한 판례 될 수 있다는 우려의 목소리 각계 각층에서 나오고 있는 중.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
