인터넷 기반 클라우드 컴퓨팅 및 모바일 장치 등이 주된 통신수단이 됨에 따라, 사이버 보안 위협이 커지고 있다. 법무법인 및 변호사 집단 역시 해킹과 같은 정보 침해의 위험으로부터 안전하지 않으며, 미국의 주요 로펌이 보관하는 인수⋅합병 에 관한 정보 침해 사건, ‘파나마 페이퍼스’로 명 명되는 역외 금융 전문 로펌의 비밀문서 유출 사건 등을 겪으면서, 로펌에 대한 해킹은 사회 문제 로 떠올랐다. 로펌이 해커들의 표적이 되는 요인 은, 고급정보를 다량 보관하고 있는데 더하여 일 반 기업보다 보안이 취약하기 때문이다. 로펌으로 부터 탈취한 정보들은 금융사기, 소송 전략, 산업 스파이, 영업비밀거래에 활용됨으로써 확대 피해 를 일으킨다. 우리나라에서 로펌의 사이버 보안에 관한 논의 는 활발하지 않지만, 인터넷 시대에 사이버보안은 필수적인 전제조건이 되므로, 외국의 사례를 통해 그 대비책을 구상하는 것은 유의미한 작업이다. 또한 우선적으로 우리나라 개인정보보호에 관한 법률 및 개인정보침해소송에서 법원이 내린 판단 을 고찰함으로써, 로펌이 해킹당한 때에 그 책임 소재와 대응방안을 추론해 볼 수 있다. 개인정보유출사고의 원인에는 크게 내부의 관 리소홀로 인한 유출과 고의적인 불법행위로 인한 유출이 있고, 침해유형에 따라 계약책임과 불법행 위책임으로 구성되며, 대법원은 관련법령의 요구 사항, 해당 관리자가 취하고 있던 보안수준, 해킹 기술의 수준, 제3자의 접근가능성, 피해정도라는 기준을 통해 손해배상책임 성부를 판단하고 있다. 로펌의 민사상 손해배상책임을 판단할 때에 위 기준이 기본적으로 적용될 것이고, 비밀유지의무 위 반에 따른 변호사법 또는 형법상 책임이 문제될 수 있다. 한편, 미국의 경우 로펌이 보안 침입을 당한 경우 연방법 및 주법상 의무, 직무행위 표준 규칙상 의무 위반이 문제되고, 나아가 철벽 보안 을 요구하는 의뢰인의 압력이 강해짐에 따라 그 기대에 부응하기 위한 조치가 취해지고 있다. 의뢰인의 기밀, 독점 정보 보호를 위해 적절한 보안장치를 구축하는 것은 점점 변호사의 주된 주 의의무의 내용이 될 것인 바, 합리적으로 기대되 는 변호사의 능력과 비밀유지의무를 지키기 위하여 로펌은 기술진화에 따른 적합한 방어 정책을 마련해야 할 것이다.

Cyber security threats are increasing, as internet-based cloud computing and mobile devices become major means of communication. Law firms and lawyers are not safe from the risk of information infringement such as hacking. For example, there were an M&A information infringement, which was held by major US law firms, and a secret document leakage accident of offshore financial law firm, which is called ‘Panama Papers’. As a result, the hacking of law firms has become a social problem. Law firm becomes a major target of hackers because it stores a lot of high-quality information and it is less secure than other companies are. Information stolen from law firms is used for financial fraud, litigation strategy, industrial espionage, and secret transactions and it causes further damages. South Korean law firms have not actively discussed the cyber security. However, cyber security is an essential prerequisite in the internet era, so it is meaningful to prepare for the countermeasures through studying foreign cases. Furthermore, we can deduce the liabilities and countermeasures when a law firm is hacked by reviewing the court decisions on acts regarding personal information protection and personal information infringement lawsuits. The personal information leakage accidents are mainly caused by improper internal managements and intentional illegal activities. Depending on the infringement types, liabilities consist of contract liability and illegal acts liability. The Supreme Court determines the liability for damages by considering the security level of the manager, the level of hacking technique, the accessibility of a third party, and the level of damage. These basic criteria will be applied to judge the liability of a law firm in the civil law. The law firm may need to take a responsibility in the Attorneys-at-Law act or criminal law due to the violation of confidentiality obligation. In the US, the security infringement of a law firm is an issue of violating the standard rules of conduct and obligations under federal and state laws and regulations. Moreover, as customers request absolute security, law firms have taken appropriate measures to meet these expectations. It will be the main responsibility of lawyers to establish appropriate security measures for protecting the client’s secret proprietary information. Therefore, law firms should establish suitable protection policy coping with advancing technology in order to protect the rationally expected performance and confidentiality of lawyers.

Ⅰ. 연구 방향 소개
Ⅱ. 외국 로펌에 대한 침해사례 및 정보침해의 특징
Ⅲ. 한국의 개인정보의 침해 사례
Ⅳ. 구제수단의 검토
Ⅴ. 로펌에 대한 사이버공격과 책임
Ⅵ. 결론

• 유원주(서울대학교 일반대학원 법학과 석사과정, 변호사) | Won-joo Yoo