드라마 ‘이상한 변호사 우영우’는 실화를 바탕으로 에피소드를 구성하고 있다. 드라마 속 마지막 사건으로 다뤄진 인터넷쇼핑몰 라온의 개인정보 유출 사고 역시 실화를 바탕으로 한다. 드라마 속 라온의 개인정보 유출 사건은 2016년 2540만 명의 개인정보가 유출된 인터파크 사건과 판박이다. 다만 실제로는 업체의 ‘늑장 대응’이 사회적인 문제가 됐다는 사실과 방통위가 승소한 점에서 차이가 있다. 

드라마에선 라온 직원의 동생을 가장한 ‘스피어 피싱’(작살처럼 특정 타깃을 겨냥한 피싱 방식)을 통해 4000만 명의 개인정보가 유출된다. 2016년 인터파크 사건과 판박이다. 인터파크에선 업체 직원의 여동생을 가장한 메일로 ‘침투’가 시작돼 2540만 명의 개인정보가 유출됐다.

드라마 속 라온에는 3000억 원의 과징금이 부과됐는데, 실제 사건에선 44억 8000만 원의 과징금이 부과됐다. 액수 차이는 크지만 역대 최대 규모의 과징금이라는 점은 같다. 앞서 2014년 1170만 명의 개인정보를 유출한 KT의 과징금 규모는 1억 원이 채 되지 않았다. 드라마에서도 전례 없는 과징금 규모를 언급하며 “방통위가 실수로 공(0)을 몇 개 더 찍은 것 같습니다”라는 대사가 나올 정도다.

2016년 12월 전례 없는 과징금이 부과되자 인터파크는 불복했다. 인터파크는 태평양을 법률대리인으로 선임해 소송에 나섰다. 드라마와 마찬가지로 보안 조치와 해킹 사이에 인과관계가 있었는가, 즉 방통위가 미비점으로 지적한 보안 조치를 했다면 해킹을 막을 수 있었느냐는 인과관계가 쟁점이 됐다.

드라마에선 이 ‘인과관계’ 문제를 소송 도중에 제기하지만 실제로는 방통위 조사 때부터 인터파크는 보안 조치와 유출 사고의 인과관계가 없다는 점을 강조했다. 2016년 12월6일 당시 김기석 방통위 개인정보보호조사팀장은 과징금 결정 직후 브리핑 자리에서 “현행법에서는 굳이 인과관계를 증명하지 않아도 과징금 부과가 가능하다”며 인터파크의 주장을 반박했다.

법이 바뀐 점도 드라마가 현실 상황을 사실적으로 반영한 대목이다. 드라마와 마찬가지로 현실에서도 2014년 법 개정으로 전과 달리 인과관계가 없어도 기술적 조치를 취하지 않으면 과징금을 관련 매출 3%까지 부과하는 내용의 법 개정이 이뤄졌다. 관련 법 개정이 이뤄져 인터파크가 거액의 과징금을 부과 받은 첫 사례인 것도 드라마와 같다.

다만 드라마처럼 법 개정 시점이 극적이지는 않았다. 드라마에서 라온의 법률대리인인 한바다측은 ‘해킹 공격이 시작된 순간부터 유출로 봐야 한다’는 논리를 펴면서 ‘법 개정 전날 유출됐기에 개정 이전 법을 적용해야 한다’고 주장해 위기를 타개한다. 실제론 인터파크 개인정보 유출 사고 2년 전인 2014년 관련 법이 개정됐다.  

드라마와 현실에 차이가 큰 대목도 있는데, 실제 사건에서 유출 사실 못지 않게 논란이 된 것이 ‘신고 시점’이다. 드라마에선 해킹 직후에 담당자가 인지한 것으로 나오지만, 인터파크는 사고 발생 두 달 후에서야 해킹 사실을 인지하고 신고했다.  

‘늑장 대응’은 이뿐이 아니다. 개인정보 유출 인지 후 24시간 이내에 방통위에 신고해야 하지만, 인터파크는 제때 신고하지 않았다. 2016년 12월 6일 방통위 전체회의 속기록에 따르면 인터파크 법무팀장은 “방통위에 신고해야 되는지 몰랐다. 경찰에 신고하는 걸로 갈음될 수 있다고 봤다”고 주장했다.

인터파크가 경찰 신고 후 열흘 지난 시점에서 개인정보 유출 사실에 관한 사과문을 홈페이지에 올려 또 다시 ‘늑장 대응’ 논란이 불거지기도 했다.

드라마에서는 방통위 제재 이후 재판 과정에서 사건이 공론화되지만, 현실에선 사고가 언론을 통해 드러나 논란이 된 후 조사가 시작됐다는 점이 다르다. 2016년 8월 방송통신위원회, 미래창조과학부(과학기술정보통신부)는 공동조사단을 꾸렸고 조사와 수차례 인터파크 의견 청취 끝에 같은 해 12월 과징금을 결정했다. 여론이 분노하는 상황에서 조사와 제재 처분이 이뤄졌기에 보다 강경한 대응이 나왔다는 해석도 있다. 

소송 결과도 드라마와 다르다. 드라마에선 인터넷 쇼핑몰 업체가 승소하지만 2020년까지 이어진 실제 소송에선 일관되게 방통위가 승소했다. 항소심 재판부는 “2014년 정보통신망법 개정 이후에는 (중략) 인과관계는 요구되지 않는다”고 판단했다. 이어 인터파크는 상고했으나 대법원은 기각했다. 재판부는 법 조항상 인과관계와 무관하게 제재가 가능하다며 방통위의 손을 든 것이다.

드라마는 인터넷 쇼핑몰 업체를 ‘개인정보 유출’을 야기한 기업이라는 측면 뿐 아니라 피해자로서 면모를 함께 보여준다. 쇼핑몰 업체 대표가 법정에서 보안조치와 해킹은 별개의 사안이라고 호소하다 극단적인 시도를 하는 모습까지 등장한다.

실제 인터파크 판결은 논쟁을 야기했다. 2014년 법 개정 이전 개인정보 유출 사고가 벌어진 싸이월드 개인정보 유출 민사 소송의 경우 “과실과 해킹사고로 인해 원고가 입은 손해 사이에 인과관계가 인정된다고 보기 어렵다”는 판결을 내렸는데, 법 개정 이후 대조적인 판결이 나온 것이다. 방통위를 대리한 법무법인 민후측은 “기술적 조치의무 위반행위와 개인정보 유출 사이에 인과관계가 필요하지 않다는 최초의 명시적인 판결”이라고 의미를 부여했다.

그러나 ‘인과관계가 없는 해킹에까지 책임을 묻는 건 과도하다’는 입장이 업계과 법조계 등에서 지속적으로 나왔다. 극단적인 예지만 당시 제재 방식대로라면 도둑이 인터넷과 무관한 하드디스크를 훔쳤는데, 인터넷 개인정보 보안 조치를 하지 않았다는 이유로 제재가 내려질 수도 있게 된다.

이와 관련 2021년 발행된 ‘개인정보 보호조치의무 위반과 해킹 사이의 인과관계’(전승재 법무법인 바른 변호사) 논문은 “인터파크 판결의 해석은 법치주의의 대원칙인 자기책임의 원리에 위반될 소지가 있으므로 재고되어야 한다”고 밝혔다. 결론부에는 “인과관계 요건을 없앤다고 해서 피해자가 폭넓게 보호되는 것이 아니며, 오히려 관리자로 하여금 해킹으로 인한 피해 내역을 은폐할 유인을 키우고, 개별 사건에서 책임소재가 불분명하다는 이유로 손해액이 감액되는 등의 반작용을 낳을 수 있기 때문”이라고 지적했다. 

재판 이후 인과관계를 법 조항에 명시하려는 시도가 이어졌다. 개인정보보호위원회는 2021년 개인정보보호법 개정안 입법예고를 통해 과징금 부과시 고려사항으로 ‘개인정보가 분실 도난 유출 위조 변조 또는 훼손된 정도 및 안전성 확보 조치 등 의무 위반행위와의 인과관계’를 고려하도록 규정했다.(드라마에선 방통위가 정보통신망법으로 제재하는 것으로 나왔지만, 2020년 법 개정과 기구 개편으로 현재는 개인정보보호위원회가 개인정보보호법에 의거해 제재하고 있다.)