[사건경위] 1. 사실관계 2000년대 초 인포뱅크가 이동통신 3사의 문자 전송서비스를 이용한 기업메시징서비스를 처음 출시하였고, 이후 수요가 폭증하자, 다른 중소기업들 뿐 아니라 삼성에스디에스, 에스케이브로드밴드, 원고 엘지유플러스(LGU+), 원고 케이티(KT) 등 대기업들도 기업메시징서비스 생산공급자 또는 재판매업자로서 기업메시징서비스 시장에 신규 진입하였다. 다음카카오는 자사 소셜미디어 플랫폼인 카카오톡을 이용한 기업메시징서비스를 2014년부터 출시하였다. 기업메시징서비스 대량 수요처는 입찰 방식 등을 통하여 가격인하 경쟁을 유도하였고, 원고 엘지유플러스와 원고 케이티는 각자 대형 고객 유치를 위해 개별적으로 기업메시징서비스 가격을 부가통신사업자들보다 낮게 설정하였고(이하 '이 사건 가격설정'), 이로 인해 원고들과 경쟁관계에 있었던 부가통신사업자들이 영업 부진을 겪었다. 2. 공정거래위원회의 처분 2015년 2월 공정위는 이 사건 관련상품시장을 이동통신 3사의 문자 전송서비스를 이용한 기업메시징서비스로만 정하고, 원고들 각자 시장지배적 사업자에 해당된다는 전제에서. 2010년부터 2013년까지 이 사건 가격설정은 이동통신 3사의 전송서비스 가중평균 가격보다 낮기 때문에, 독점규제 및 공정거래에 관한 법률(이하 '독점규제법') 시행령 제5조 제5항 제1호의 '통상거래가격보다 낮은 가격'에 의한 부당한 경쟁자 배제(즉, 부가통신사업자 배제)에 해당된다는 이유로 원고들에게 과징금납부명령과 시정명령을 하였다(이하 '이 사건 처분'). 3. 원심판결 2018년 1월 서울고등법원은 통상거래가격은 '효율적인 경쟁자가 당해 거래 당시의 경제 및 경영상황과 해당 시장의 구조, 장래 예측의 불확실성 등을 고려하여 일반적으로 선택하였을 때 시장에서 형성되는 현실적인 가격'이라고 하고, 공정위가 통상거래가격이라고 주장한 가격이 통상거래가격이라고 인정할 근거가 없고, 예비적으로 보더라도 공정위의 경쟁제한성 증명이 없다는 이유로 이 사건 처분을 취소하였다. 4. 대상판결 2021년 6월 대법원은 독점규제법 시행령 제5조 제5항 제1호의 통상거래가격은 비용과는 구별되는 가격의 일종이라는 등의 이유로 '통상거래가격에 비하여 낮은 대가로 공급하는 행위'에는 이른바 '이윤압착행위'도 포함된다고 하였다. 이러한 전제에서 대법원은 이 사건 가격설정은 통상거래가격보다 낮은 가격인 이윤압착으로서 중·장기적으로 기업메시징서비스의 가격상승 등 경쟁제한효과를 초래할 여지가 있다고 하면서, 원심판결을 법리오해 및 심리미진을 이유로 파기환송하였다. [ 판결요지 ] 대법원은 통상거래가격은 비용과는 구별되는 가격의 일종이라는 등의 이유로 ‘통상거래가격에 비하여 낮은 대가로 공급하는 행위’에는 이른바 ‘이윤압착행위’도 포함된다고 하였다. 이러한 전제에서 이 사건 가격설정은 통상거래가격보다 낮은 가격인 이윤압착으로서 중·장기적으로 기업메시징서비스의 가격상승 등 경쟁제한 효과를 초래할 여지가 있다고 하면서, 원심판결을 법리오해 및 심리미진을 이유로 파기환송하였다. [ 평석요지 ] 대상판결의 독창적 이윤압착론은 법리적 혼란만 초래하고 있고, 수직통합사업자의 가격우산 아래 하방시장 경쟁자들이 경쟁에 노출되지 않도록 하기 때문에 바람직하지 않다. 2014년부터 현재까지 기업메시징서비스 시장에서 특히 카카오와 이동통신사들 사이의 경쟁이 치열하게 진행되어 왔고, 이 사건 가격설정으로 경쟁이 제한되었다는 객관적 증거가 없다. 따라서 이 사건 가격설정은 적법한 가격경쟁으로 볼 수 밖에 없다. [평석] 1. 문제의 소재 이 사건에는 시장지배력 존부 및 경쟁제한성 존부를 판단하기 위한 관련시장 획정 단계에서부터 카카오톡 기업메시징서비스가 제외되었다는 문제가 있다. 설령 관련시장에서 카카오톡 기업메시징서비스가 제외된다고 하더라도, 엘지유플러스에게는 케이티가 유력 경쟁자이고, 케이티에게는 엘지유플러스가 유력 경쟁자이고, 원고들 모두에게 카카오가 유력 경쟁자이고 에스케이텔레콤이 잠재적 경쟁자인 상황에서, 원고들이 각자 단독으로 어떻게 시장지배력을 형성할 수 있다는 것인지부터 납득하기 어렵다. 대상판결에 따르면 하나의 관련시장에서 복수의 시장지배적 사업자들이 각자 단독으로 시장지배력을 형성하여 각자 남용할 수 있다는 것인데, 이는 미국, 유럽연합, 독일, 프랑스, 영국, 일본, 캐나다, 호주 등 비교법적 사례는 물론이고 경제학 이론에서도 찾아볼 수 없는 완전히 독창적인 내용이다. 한편 경쟁법상 약탈적 가격인하(predatory pricing) 문제와 가격·이윤압착(price/margin squeeze) 문제는 서로 구별된다. 시장지배력 남용으로서 가격압착은 1940년대 미국에서 처음 문제되었고, 유럽에서는 2000년대부터 이윤압착이라는 용어로 문제되었다. 약탈적 가격인하는 미국에서 1911년 Standard Oil 판결, 이윤압착은 1945년 Aloca 판결에서 최초로 인정된 이래 오늘날까지 양자의 경쟁법상 쟁점이 다르기 때문에 판례와 학설 모두 양자를 구별해왔다. 원래 의미의 이윤압착은 상방시장의 높은 가격설정에 초점이 맞추어진 것이고, 하방시장의 낮은 가격만 문제되는 경우는 이윤압착이 아니라 약탈적 가격인하가 문제된다. 이 사건 가격설정은 상방시장에서 높은 가격설정이 아니므로(엘지유플러스는 부가통신사업자에 대한 전송서비스 판매가격을 인상시킨 적이 없고, 케이티는 오히려 전송서비스 판매가격을 인하시켰다), 이윤압착으로 볼 여지가 없다. 그럼에도 대상판결은 이 사건 가격설정을 이윤압착으로 잘못 전제하였고, 대상판결이 제시한 독창적 이윤압착론은 경쟁법 기본 원리에 비추어볼 때 극히 이해하기 어렵다. 2. '통상거래가격보다 낮은 가격'의 해석론 시장지배력 남용의 하위 유형인 '통상거래가격보다 낮은 가격'은 약탈적 가격인하로서 '비용보다 낮은 가격'으로 해석될 수는 있으나, 어떤 경우에도 '상방시장에서 높은 가격'으로 해석될 수 없으므로 이윤압착으로 해석될 수 없다. 첫째, 가격(이윤)압착이란 '상방시장에서 독점력을 가진 수직통합사업자가 (i) 상방시장에서 가격을 너무 높게 설정하거나 또는 (ⅱ) 상방시장에서는 가격을 너무 높게 설정하고 하방시장에서는 가격을 너무 낮게 설정함으로써 경쟁자가 하방시장에서 존속하는데 필요한 이윤을 없애거나 감소시키는 행위'를 의미한다. 가격(이윤)압착 문제에서 '너무 높은 가격 또는 너무 낮은 가격'이란 관념은 미국과 유럽에서 소송 목적에서 주장된 것일 뿐, 높은 또는 낮은 가격의 기준에 관한 엄밀한 경제이론이나 객관적 판단기준이 있는 것은 아니다. 이윤압착 문제는 미국 연방대법원 판례처럼 상방시장에서 거래의무 존부와 하방시장에서 약탈적 가격인하 문제로 나누어 접근해야 가격경쟁이 시장지배력 남용으로 오판되는 위험을 최대한 방지할 수 있다. 연방법무부도 연방대법원에 제출한 link Line 사건 정부 의견서에서 종전 Aloca 판결이 이윤압착의 근거로 제시했던 공정가격과 생존이윤 개념은 너무 모호하고 측정할 수 없을 뿐 아니라 시장경쟁과 소비자후생과 관련성이 없다고 비판하였다. EU법원은 미국과 달리 이윤압착을 독자적인 시장지배력 남용으로 인정하고 있으나, 경쟁제한 오판 위험성을 지적하는 유럽 학자들도 있다. 둘째, 시장지배적 사업자가 팔면 팔수록 손실이 커지는 가격으로 계속 판매하고 있다면, 외견상 가격인하 경쟁처럼 보일 뿐 실제로는 경쟁자를 퇴출시키고 신규진입을 봉쇄하여 관련시장을 독점한 뒤 경쟁이 제한된 상태에서 추후에 가격을 대폭 인상시켜 독점이익을 얻기 위한 약탈적 전략의 일환이라고 의심해 볼 수 있다. 이를 약탈적 가격인하 시나리오라고 하는데, '손실을 초래하는 가격'을 일반적으로 '비용보다 낮은 가격'이라고 하므로, '통상거래가격보다 낮은 가격'을 '비용보다 낮은 가격'으로 해석할 수 있다. 또한 독점규제법에는 배타조건부거래처럼 동일한 행위 유형이 제23조의 불공정거래행위와 제3조의2 제1항의 시장지배력 남용에 모두 규정된 경우도 있으므로, '비용보다 낮은 가격'이 불공정거래행위의 하위 유형인 부당염매 조항(독점규제법 시행령 제36조 제1항 관련 [별표 1의2] 제3호 (가) 목에 규정되어 있다고 해서, '통상거래가격보다 낮은 가격'을 '비용보다 낮은 가격'으로 해석할 수 없다고 할 수는 없다. 3. 부당성(경쟁제한성) 판단기준 대상판결은 이 사건 가격설정으로 인한 중장기적 경쟁제한효과를 고려해야 한다고 하였다. 그런데 경쟁제한성 증명 책임을 부담하는 공정위는 애당초 중장기적 경쟁제한효과를 증명한 바 없다. 이 사건 처분 의결서에서 공정위는 "단기적으로는 피심인의 저가 판매행위로 인해 소비자에게 이익이 될 수도 있지만, 궁극적으로는 독과점 구조가 고착화됨에 따라 가격인상, 서비스 품질 저하 등 소비자에게 불리한 결과가 초래될 것이 우려된다"거나 "피심인은 이 사건 행위를 통해 시장에서 경쟁사업자가 배제된 이후에 기업메시징서비스 가격을 인상함으로써 이 사건 행위 과정에서 직면했던 손실을 보전하려고 할 가능성이 높다"며 경쟁제한성을 막연히 주장했을 뿐이다. 기업메시징서비스 시장에서 중장기적 가격상승 등 경쟁제한효과가 나타나기 위해서는, 먼저 원고들이 약탈적 가격인하 담합으로 부가통신사업자를 모두를 퇴출시키고, 카카오는 물론이고 에스케이텔레콤 등과 같은 잠재적 경쟁자의 신규진입을 완전히 봉쇄한 다음에, 가격인상 담합까지 성공해야 한다. 이러한 시나리오의 성공 가능성은 공동행위에서도 극히 희박하고 단독행위에서는 아예 불가능하다. 4. 결론 대상판결의 독창적 이윤압착론은 법리적 혼란만 초래하고 있고, 수직통합사업자의 가격우산 아래 하방시장 경쟁자들이 경쟁에 노출되지 않도록 하기 때문에 바람직하지 않다. 여하튼 2014년부터 현재까지 기업메시징서비스 시장에서 특히 카카오와 이동통신사들 사이의 경쟁이 치열하게 진행되어 왔고, 이 사건 가격설정으로 경쟁이 제한되었다는 객관적 증거가 없다. 따라서 이 사건 가격설정은 적법한 가격경쟁으로 볼 수밖에 없다. 주진열 교수(부산대 로스쿨)

2016년 2,500만 건의 고객정보를 유출 당한 인터파크에게 방통위는 44억 8,000만 원의 과징금을 부과했다. 이는 개인정보 유출 관련 정부가 부과한 과징금액으로는 역대 최고 금액이다(참고로 민사에서 최대 배상금액을 기록한 소송은 단연 신용카드 3사 개인정보유출 사건이다). 인터파크는 방통위의 과징금 처분에 불복하여 행정소송을 제기했으나 1심 서울행정법원 및 항소심 서울고등법원에서 패소했다. 소송에서는 인터파크의 법위반행위와 해킹 간 인과관계 여부가 주된 쟁점이었다. 법원은 방통위 처분을 지지하면서 “유출사고가 난 이상 이것과 법위반행위 사이의 인과관계가 입증되지 않았더라도 과징금을 부과할 수 있다”고 해석했다. 본고에서는 이 쟁점에 대해 살펴본다. 인터파크가 당한 해킹의 유형은 APT(Advanced Persistent Threat) 공격이다. 이는 해커가 특정 목표 대상을 정한 후 그 허점을 집요하게 노려 침입하는 기법이다. 해커는 인터파크 직원 A의 가족사진을 가지고 화면보호기(SCR 파일)를 만들고 여기에 악성코드를 심어 A에게 이메일로 전송하면서, 마치 A의 친동생이 보내는 것처럼 발신 이메일 주소를 위장하고 동생의 어투까지 흉내냈다. A는 감쪽같이 속을 수밖에 없었다. 화면보호기의 확장자가 EXE가 아니라 SCR이라서 A는 별 의심을 하지 않고 첨부파일을 열었을 것이나, SCR 파일도 악성코드 유포용으로 사용될 수 있다. 특정 공격을 위해 특별 제작된 악성코드는 백신에도 탐지되지 않는다. 해커는 악성코드를 감염시킨 A의 PC를 거점으로 삼아 DB 관리자 직원 B의 PC에 원격 데스크탑 접속했다. 당시 B가 퇴근한 시간이었는데, 그때까지 DB 서버와의 접속이 유지된 터미널이 B의 PC에 그대로 떠 있었다고 한다. 자동 로그아웃(이하 ‘idle timeout’) 설정이 제대로 안 되어 있었기 때문이다. 덕분에 해커는 DB 서버에 손쉽게 침입할 수 있었는데, 여기에서 인터파크 회원들의 개인정보가 유출된 것이 바로 이번 사고이다. 정보통신망법의 위임을 받아 개인정보의 기술적·관리적 보호조치의 내용을 정한 방통위 고시는 개인정보처리시스템에 idle timeout 설정을 할 의무를 규정하고 있다. 그러한 법상 의무를 위반하면 그 자체로 과태료, 개인정보 유출까지 되면 과징금 부과 대상이다. 부수적으로, A의 PC를 손에 넣은 해커가 인터파크 사내 네트워크를 스캔했더니 업무용 파일서버가 발견되었다. 거기에는 패스워드 장부 엑셀파일이 있었다. 직원들이 수많은 인터파크 서버들의 접속계정을 외우기 어려워 이를 메모해둔 것이었다. 다만, 개인정보가 유출된 DB 서버의 접속 패스워드는 여기에 없었다고 한다. 즉, 패스워드 장부 노출이라는 법위반행위와 개인정보 유출 사이에는 인과관계가 없음이 분명했다. 그런데 방통위는 idle timeout 미설정은 물론 및 패스워드 장부 노출까지 모두 처분원인사실로 삼아 과징금을 부과했다. 인터파크는 행정소송에서 idle timeout 미설정은 APT 해킹의 핵심 원인이 아니다, 나아가 패스워드 장부 노출과 개인정보 유출은 인과관계가 전혀 없다고 주장했다. 인터파크를 패소시킨 1심 및 항소심 법원은 인과관계 자체가 과징금 부과 요건이 아니라고 근거법률을 해석했다. 개정 전 법조문은 “법상 '조치'를 하지 아니하여 이용자의 개인정보를 '유출'한 경우에는 과징금을 부과한다”는 구조로서 '미조치'가 '유출'의 원인이 되어야 한다는 뜻이 명확했다. 이와 달리 2014년 개정된 법조문은 “이용자의 개인정보를 '유출' 한 경우로서 법상 '조치'를 하지 아니한 경우에는 과징금을 부과한다”는 형식으로 바뀌었다. 이를 근거로 법원은 '유출'이라는 결과와 '미조치' 행위가 인정되기만 하면 둘 사이의 인과관계는 요구되지 않는다고 해석했다. 그러나, 해킹의 원인을 제공하지 않은, 즉 ‘인과관계’ 없는 사업자의 위반행위까지 과징금 처분사유가 될 수 있다고 본 법해석에 대해서는 재고의 여지가 있다고 사료된다. 민사와 형사의 영역에서는 자신의 행위와 인과관계 없는 결과에 대해서 법적 책임을 지는 경우는 있을 수 없다. 형법 제17조(인과관계) 및 민법 제750조(불법행위의 내용) 모두 ‘인과관계’를 법적 책임의 성립요건으로 요구한다. 이것이 법의 대원칙이다. 행정상의 제재 또한 특별한 사정이 없다면 마찬가지이다. 행정상 금전제재는 크게 과징금과 과태료로 나뉜다. 일반론적으로, 단지 절차를 위반한 행위에 대해서는 행정질서벌의 일종인 과태료(가벼운 제재)가 부과되는데 그치는 반면, 행정목적을 침해하는 결과까지 야기한 행위에 대해서는 행정벌의 일종인 과징금(무거운 제재)이 부과된다. 정보통신망법 또한 이 체계에 따라 과태료와 과징금의 각 구성요건이 차등되어 있다. 사업자가 단지 idle timeout과 같은 법상 조치를 불이행한데 그쳤다면 3,000만 원 이하의 과태료를 부과 받지만(제76조 제1항 제3호), 더 나아가 개인정보 유출(해킹)이라는 결과까지 야기했다면 관련매출액에 비례하는 과징금을 부과 받는다(제64조의3 제1항 제6호). 해킹을 당했다는 결과에 대해 사업자에게 과징금이라는 법적 책임을 지우려면, 마땅히 사업자의 행위와 결과 사이에 ‘인과관계’가 존재해야 한다. 이것이 법의 대원칙에 부합하는 해석으로 사료된다(만약 해킹과의 인과관계를 불문하고 과징금을 부과하는 쪽으로 제도를 바꾼다면 굳이 행정질서벌을 운영할 필요가 없으니 과태료 조항을 폐지하는 것이 균형에 맞을 것이다). 이러한 원칙에 부합하도록 개정 전 정보통신망법 제64조의3 제1항 제6호는 ‘조치를 하지 아니하여 이용자의 개인정보를 누출’이라는 형식으로 규정함으로써 미조치가 해킹의 원인을 제공했어야 한다는 요건을 명시하고 있었다. 그러다가 2013. 11. 21. 방통위가 입법예고한 정보통신망법 일부개정안에서 “현재 대규모 개인정보 누출 등 침해사고 발생시 기술적·관리적 보호조치 위반과의 인과관계 입증이 어려움” 이라는 이유를 들어 과징금 부과요건 중 ‘인과관계’ 요건을 삭제할 것이 제안되었다. 참고로 이때까지는 개인정보 유출(해킹) 사고에 대해 과징금 처분이 내려진 전력이 없었다(2014. 6. 26. 비로소 첫 과징금 사건인 KT 마이올레 사건의 방통위 처분이 내려졌다). 위 방통위가 제안한 내용의 정보통신망법 제64조의3 제1항 제6호 개정안은 독자적인 법안으로 국회에 발의되지는 않은 것으로 보이고, 대신 2014. 5. 2. 국회 본회의를 통과한 대안법안의 일부로서 반영되었다. 그런데 정작 그 대안법안의 의안원문 및 이에 관한 국회 검토보고서, 소관위 회의록 등 가운데 ‘인과관계’ 입증 없이도 과징금을 부과할 수 있도록 한다는 기재는 어디에도 없다. 즉, ‘인과관계’ 요건을 삭제하는 개정안이 국회에서 논의라도 되었는지 의문이다. 참고로 그 당시는 신용카드 3사 개인정보 유출 사고 사실이 2014. 1. 8.자 검찰 발표에 의해 알려진 이래 국회에서 앞 다투어 개인정보 규제를 강화하는 법안들이 발의된 시점이어서, 위 대안법안에는 무려 18건의 발의안이 통합되어 있었다(예컨대 300만 원 이하 법정손해배상 규정도 이 때 신설된 것이다). 따라서 입법자의 의도에 ‘인과관계’ 요건 삭제가 포함되어 있는지 여부는 불명확한 측면이 있으며, 만약 진정한 입법의도가 그러했다면 위헌 소지를 검토해 보아야 한다. 무엇보다도 과징금 부과요건에서 ‘인과관계’를 뺄 경우, 민사상 손해배상 요건과 균형이 맞지 않게 된다. 정작 본인의 정보를 유출 당한 이용자는 사업자를 상대로 민사소송을 제기하더라도 사업자의 과실과 해킹 간 인과관계가 입증되지 못하면 손해배상을 받을 수 없다. 행정청은 피해자인 일반 국민들보다 현저히 강력한 조사권한을 가졌음에도 ‘인과관계’ 요건 입증을 생략하고 과징금이라는 공법적 제재를 손쉽게 부과할 수 있어야 하는지, 응보와 억지가 피해배상보다 우선되어야 하는 가치인지는 심히 의문스럽다. 향후 만약 행정청이 ‘인과관계’ 요건 입증을 생략하고 과징금을 부과할 경우, 이번 판결이 해석한 입법의도와는 오히려 반대로, 피해자들이 제기한 민사소송에서 별도로 인과관계 요건을 입증하는데 곤란을 겪어 이용자 구제에 흠결을 낳을 수도 있다. 한편, 만약 본고의 주장에 따라 ‘인과관계’를 여전히 현행법상 과징금 부과요건으로 해석할 경우, 인터파크 사건에서 두 처분사유와 해킹 사이의 인과관계는 존재하는가. 제1처분사유와 해킹 사이의 인과관계 유무는 곧 “Idle timeout 조치를 취했을 때 인터파크가 당한 유형의 APT 해킹을 통상 막을 수 있는가”의 문제로 점철된다. 이는 세부 사실관계에 따라 판단 여지가 있는 문제이다. 인터파크 사건의 경우, 해커가 DB 관리자 B의 PC(관리용 단말기)에 원격 데스크탑으로 접속해보니 마침 B가 퇴근하여 자리를 비운 상태에서 망분리 프로그램 및 DB 서버 접속 터미널이 로그아웃 되지 않고 그대로 떠 있었다. 이와 달리, 위 망분리 프로그램 및 DB 서버 접속 터미널에 최대접속시간이 설정되어 있었고 해커가 B의 PC에 접속했을 때 위 터미널이 로그아웃 된 상태였다고 가정했을 때, 과연 해커가 DB 서버에 침입할 수 있었을지 여부가 관건이다. 만약 예컨대 해커가 B의 PC에 키로거 등을 용이하게 설치할 수 있는 상황이었다면, 해커로서는 수고스럽더라도 위 PC에 키로거를 심어 내부망 ID·PW 및 DB 서버 ID·PW를 도청할 수 있었을 것이고, 이 경우 idle timeout 조치를 했었더라도 해킹은 막지 못하게 된다. 이러한 맥락에서 싸이월드 판결은 DB 서버 계정 ID·PW가 해커에게 이미 도청당한 상태에서 idle timeout 설정은 무용지물이라는 이유로 그 미설정과 해킹 사이의 상당인과관계를 부정한바 있었다. 달리 가정하여, 만약 해커가 B의 PC 제어권한을 완전히 탈취하지 못했거나, 또는 해커의 관점에서 우연히 접속해 본 B의 PC가 DB 관리자의 것인지조차 알기 어려운 상황이었다면, DB 서버 접속 터미널이 idle timeout 되지 않고 그대로 떠 있었던 것이 해킹의 결정적 계기를 제공한 셈이므로 상당인과관계가 인정될 수 있을 것이다. 한편, 적어도 두 번째 처분사유와 해킹 사이에는 인과관계가 없다는 점은 분명하다. DB 서버의 관리자 비밀번호는 문제된 패스워드 장부 엑셀파일에 쓰여 있지 않았고, 해커는 다른 경로로 DB 서버에 침입했으므로, 위 패스워드 장부 엑셀파일이 노출된 것은 DB 서버 해킹의 원인과 무관하다. 해킹과 인과관계 없는 위반행위는 과태료 부과 대상이어야 마땅하다. 그런데 인터파크의 입장에서는 다른 경로로 해킹을 당했다는 우연한 사정으로 인해, 해킹의 원인이 아닌 행위에 대해서까지 경한 과태료 대신 중한 과징금을 부과 받게 된 셈이다. 요컨대, 정부가 ‘인과관계’를 입증하기 곤란하다는 이유로 이것을 과징금 부과요건에서 뺀다는 것은 근시안적인 접근이다. 정부의 역할은 침해사고 원인조사의 실효성을 높임으로써 해킹과 ‘인과관계’ 있는 취약점이 무엇이었는지를 현장에서 밝히는 것이 되어야 한다. 그렇다면 기술적·관리적 보호조치 고시는, idle timeout과 같은 지엽적인 의무를 나열할 것이 아니라, 로그(Log) 보존 등 사고조사에 꼭 필요한 조치의무를 강화하는 방향으로 향후 개정되어야 하지 않을까. 전승재 변호사 (법무법인(유한) 바른)