“외주직원 정보 유출, 기업도 책임”…부산 딥페이크 사건에 경고음

[아이뉴스24 정예진 기자] 최근 부산지역 학교에서 외주 유지·보수 직원이 교직원 PC 파일 22만건을 무단 반출해 딥페이크 성착취물을 제작한 사건과 관련해 기업들의 외부 인력 관리 체계를 전반적으로 재점검해야 한다는 지적이 나오고 있다.

이번 사건은 단순 개인 범행을 넘어 외주업체 관리·감독 책임과 정보보호 체계의 허점을 드러낸 사례로 평가된다. 특히 IT(정보통신) 유지보수와 시설관리 등 외부 인력 출입이 잦은 기업 환경에서도 유사한 정보 유출 사고가 발생할 수 있다는 우려가 제기된다.

14일 법조계에 따르면 현행 개인정보 보호법 제26조는 업무를 위탁한 기업이 수탁자의 개인정보 처리 과정을 관리·감독하도록 규정하고 있다. 외주 인력이 업무용 PC나 클라우드 시스템에 접근해 정보를 유출할 경우 위탁 기업 역시 책임을 피하기 어렵다는 설명이다.

장지운 법무법인 대륜 변호사는 “법원은 수탁자에 대한 관리·감독 의무를 얼마나 충실히 이행했는지를 중요하게 판단한다”며 “기업이 통제 시스템을 제대로 구축하지 않았다면 수탁자의 불법 행위까지 기업 책임으로 연결될 가능성이 높다”고 설명했다.

장 변호사는 특히 상당수 기업들이 외주 계약 과정에서 비밀유지서약서(NDA) 작성만으로 법적 의무를 다했다고 판단하는 점에 대해 우려를 나타냈다. 그는 “NDA는 사고 발생 이후 책임을 묻는 근거가 될 수는 있지만 사전에 관리 체계를 갖췄다는 점을 입증하는 데에는 한계가 있다”고 지적했다.

이어 “외주업체 규모가 작거나 자본력이 부족한 경우 사후 손해배상 청구가 현실적으로 어려운 사례도 많다”며 “결국 기업이 직접 재정적·법적 부담을 떠안을 가능성이 크다”고 덧붙였다.

장 변호사는 최근 기업 보안 체계가 ‘신뢰 기반’에서 ‘제로 트러스트(Zero-Trust)’ 방식으로 전환되고 있다는 점도 강조했다. 외부 인력뿐 아니라 내부 직원 역시 시스템적으로 통제하고 모든 기록을 남기는 구조가 필요하다는 설명이다.

그는 “사내 PC 자동 화면 잠금과 데이터 유출 방지(DLP) 시스템, 저장매체 통제 솔루션 등을 의무적으로 구축해야 한다”며 “외부 인력의 단독 작업 여부와 파일 접근 기록 등을 객관적으로 확인할 수 있는 로그 관리 체계도 필요하다”고 조언했다.

또 “단순 손해배상 조항보다 실제 손해액 입증 없이 청구 가능한 위약벌 조항을 계약서에 포함해야 한다”며 “외주업체의 사이버 보안 배상책임보험 가입을 의무화하는 것도 현실적인 리스크 대응 방안”이라고 말했다.

장 변호사는 “이번 사건은 결국 사람에 대한 신뢰만으로는 정보보호가 불가능하다는 점을 보여준다”며 “기업 보안은 개인 윤리가 아니라 검증 가능하고 기록으로 남는 통제 시스템 중심으로 운영돼야 한다”고 강조했다.