인터넷 기반 클라우드 컴퓨팅 및 모바일 장치 등이 주된 통신수단이 됨에 따라, 사이버 보안 위협이 커지고 있다. 법무법인 및 변호사 집단 역시 해킹과 같은 정보 침해의 위험으로부터 안전하지 않으며, 미국의 주요 로펌이 보관하는 인수⋅합병 에 관한 정보 침해 사건, ‘파나마 페이퍼스’로 명 명되는 역외 금융 전문 로펌의 비밀문서 유출 사건 등을 겪으면서, 로펌에 대한 해킹은 사회 문제 로 떠올랐다. 로펌이 해커들의 표적이 되는 요인 은, 고급정보를 다량 보관하고 있는데 더하여 일 반 기업보다 보안이 취약하기 때문이다. 로펌으로 부터 탈취한 정보들은 금융사기, 소송 전략, 산업 스파이, 영업비밀거래에 활용됨으로써 확대 피해 를 일으킨다. 우리나라에서 로펌의 사이버 보안에 관한 논의 는 활발하지 않지만, 인터넷 시대에 사이버보안은 필수적인 전제조건이 되므로, 외국의 사례를 통해 그 대비책을 구상하는 것은 유의미한 작업이다. 또한 우선적으로 우리나라 개인정보보호에 관한 법률 및 개인정보침해소송에서 법원이 내린 판단 을 고찰함으로써, 로펌이 해킹당한 때에 그 책임 소재와 대응방안을 추론해 볼 수 있다. 개인정보유출사고의 원인에는 크게 내부의 관 리소홀로 인한 유출과 고의적인 불법행위로 인한 유출이 있고, 침해유형에 따라 계약책임과 불법행 위책임으로 구성되며, 대법원은 관련법령의 요구 사항, 해당 관리자가 취하고 있던 보안수준, 해킹 기술의 수준, 제3자의 접근가능성, 피해정도라는 기준을 통해 손해배상책임 성부를 판단하고 있다. 로펌의 민사상 손해배상책임을 판단할 때에 위 기준이 기본적으로 적용될 것이고, 비밀유지의무 위 반에 따른 변호사법 또는 형법상 책임이 문제될 수 있다. 한편, 미국의 경우 로펌이 보안 침입을 당한 경우 연방법 및 주법상 의무, 직무행위 표준 규칙상 의무 위반이 문제되고, 나아가 철벽 보안 을 요구하는 의뢰인의 압력이 강해짐에 따라 그 기대에 부응하기 위한 조치가 취해지고 있다. 의뢰인의 기밀, 독점 정보 보호를 위해 적절한 보안장치를 구축하는 것은 점점 변호사의 주된 주 의의무의 내용이 될 것인 바, 합리적으로 기대되 는 변호사의 능력과 비밀유지의무를 지키기 위하여 로펌은 기술진화에 따른 적합한 방어 정책을 마련해야 할 것이다.

인터넷 이용이 활발해지고 온라인 서비스를 비 롯한 각종 정보통신기술이 사람들의 생활 깊숙이 들어오면서 개인정보 유출사고 역시 급격히 증가 하고 있다. 이에 따라 미국은 California 주를 비롯 한 거의 모든 주에서 개인정보 유출사고 발생 시 정 보주체에게 그 사실을 통지하도록 의무화하는 개 인정보 유출통지법(Security Breach Notification Laws)을 운영하고 있다. 미국의 개인정보 유출통 지법의 내용은 크게 통지대상이 되는 개인정보, 통 지의무자 및 대상, 통지요건, 통지시기, 통지방법, 통지내용, 처벌조항으로 구성된다. 우리나라 또한 2011년 3월 29일 개인정보 보 호법 제정을 통하여 개인정보 유출사고 발생 시 정 보통신서비스제공자가 유출된 정보, 유출시점 및 대처방법 등을 이용자에게 통지하고 안전행정부장 관에게 신고하도록 의무화하는 규정을 추가하였 다. 그러나 위 규정상의 통지시점이 획일적이고 통지방법이 다양하지 못하며 개인정보 유출신고절차 가 이용자 보호에 미흡하다는 문제점이 있다. 뿐만 아니라 과태료 규정은 그 부과기준이 불명확하고 통지의무 준수 여부를 감독할 개인정보 보호위원 회의 독립성과 전문성도 보장되어 있지 않다. 향후 개인정보 보호법 개정을 통하여 위와 같은 입법적 미비는 개선될 필요가 있고, 이러한 점에서 장기간 의 입법적 노력과 선진적인 실무경험이 담겨있는 미국 각 주의 개인정보 유출통지법은 중요한 자료 로 활용될 수 있을 것이다.

현재 개인정보보호법제는 공공부문은「공공기관의 개인정보보호에 관한 법률」이 제정되어 있으나, 민간부문에서의 개인정보보호에 관한 일반법은 아직 제정되어 있지 않다. 개인정보보호를 실질화하기 위해서는 공공부문과 민간부문을 아우르는 통합법의 제정이 필요하다. 이러한 요청을 반영하여 공공부문과 민간부문을 통합하는 성격을 가진 개인정보보호법제정법률안이 2개의 의원안과 1개의 정부안으로 지난 국회에 제출되었으나 입법되지 못하고 자동폐기되었다. 그러나 종래 상정되었던 3건의 제정법률안 속에 개인정보보호법의 핵심내용들이 망라되어 있고 추후에 개인정보보호법의 전부개정이 이루어진다면 이들 3개 제정법률안의 내용이 골격을 이룰 것으로 예상되고 있다. 따라서 이들 3개의 제정법률안을 다룰 필요성은 현시점에서도 여전히 존재한다. 그리하여 종래 상정되었던 3개 제정법률안의 주요사항을 비교검토를 통해 각 제정법률안의 장단점을 분석하는데 주안점을 두었다.결국 개인정보보호 통합입법에 실패함으로써 개별법률간 처리기준의 상이성문제, 공공․민간을 망라하지 못하는 개인정보 처리원칙문제, 개인정보 침해로 인한 국민의 피해구제의 불충분성 등이 심화되고 있다. 개인정보보호법상 개인정보영향평가제도와 관련해서도 개인정보영향평가 실시대상의 설정문제, 평가대상 확정시 적절한 기준과 절차에 따른 평가실시와 객관성과 실질성을 담보할 수 있는 최소한의 절차상 장치 마련문제, 평가결과의 수용 여부를 감독하고 제재할 수 있는 방안의 모색문제 등이 현안이 도사리고 있다. 그리고 개인정보감독기구도 전형적인 세 가지 감독기능인 예방적 기능, 사후적 민원해결기능, 그리고 정책조언기능을 완전하게 수행할 수 있도록 제도도입이 이루어져야 할 것이다. 위와 같은 개인정보보호 관련 문제점을 근원적으로 해결하기 위해서라도 조속한 개인정보 통합입법이 이루어져야 할 것이다.