"모든 책임 사업자의 몫…부주의 확인 땐 페널티"
3500만여명의 개인정보가 유출된 네이트 · 싸이월드 해킹 사건에서 사업자인 SK커뮤니케이션즈(SK컴즈)뿐만 아니라 보안 외주 업무를 담당한 전문 보안업체들에 대해서도 책임 공방이 벌어지고 있다.

이 회사의 보안 관제(외부에서 들어오는 각종 침입을 실시간으로 감시 · 분석해 대응하는 서비스)는 안철수연구소가 맡았다. 안티바이러스 프로그램은 세계적 백신 업체인 시만텍이 공급한 것으로 알려졌다. 국내외에 명망을 갖고 있는 두 보안 회사가 해킹 사태에 연루되다 보니 업계에서도 이런저런 말들이 많다.

안철수연구소는 일단 조심스런 반응을 보이고 있다. "보안 관제를 맡은 것은 맞지만 백신,데이터베이스(DB) 보안 등 다양한 영역을 여러 업체들이 나눠서 맡기 때문에 해킹의 책임을 어느 한 곳에 온전히 지울 수는 없다"는 것.시만텍 역시 "자세한 내용을 확인하는 중"이라며 즉답을 피했다. SK컴즈도 "수사가 진행 중이어서 책임 문제를 언급하기 어려운 상황"이라고 말했다.

그렇다면 이번 경우처럼 다양한 업체들이 외주 방식으로 보안을 담당하는 상황에서 사고가 났을 경우 누구에게 책임이 돌아가는 걸까.

방송통신위원회는 기본적인 책임은 해당 사업자에게 있다고 답했다. 이번 사건의 궁극적인 책임은 모두 SK컴즈에 있다는 것이다. 김광수 개인정보보호윤리과장은 "망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)에 따라 수집한 개인정보를 위탁 관리하는 업체가 실수했다면 위탁을 준 사업자가 책임을 지게 된다"고 설명했다.

유진호 한국인터넷진흥원(KISA) 인터넷문화진흥단장도 "공식적인 책임은 사업자가 지는 것이 맞다"고 말했다. 그는 다만 "사고의 경위를 밝혀 외주 업체의 부주의가 원인이라면 계약서에 따라 손해배상 공동 책임을 지는 등의 조치도 취할 수 있다"고 덧붙였다. 최근 서비스수준협약(SLA)이 보편화되면서 사전에 맺은 계약에 미치지 못하는 서비스를 제공할 경우 페널티를 받게 된다는 것이다.

이승우 기자 leeswoo@hankyung.com



ⓒ 한경닷컴, 무단전재 및 재배포 금지