2024-03-29 03:40 (금)
[한국사회를 변화시킨 9대 개인정보 유출사고 판례 분석②] 2008년 수탁 회사 직원에 의한 개인 정보 유출 사건
상태바
[한국사회를 변화시킨 9대 개인정보 유출사고 판례 분석②] 2008년 수탁 회사 직원에 의한 개인 정보 유출 사건
  • 길민권 기자
  • 승인 2019.03.13 18:15
이 기사를 공유합니다

이와 유사한 사건이 현재에 발생한다면 손해배상 의무가 인정될 가능성 커

igromania-1894847_640-1.jpg
한국개인정보법제연구회의 도움으로 오늘부터 9회에 걸쳐 한국사회를 변화시킨 9건의 개인정보 유출 사고와 해당 판례를 분석한 기고문을 게재합니다. 1천만건 이상의 개인정보 유출 사건을 중심으로 살펴보고 이 사건들이 우리나라 개인정보보호법에 어떤 영향을 미쳤는지 그리고 기업들은 어떤 부분을 주의해야 하는지 독자들과 공유하고 실무에 도움이 되는 시간이 되길 바랍니다. 의미있는 자료를 데일리시큐에 기고해 주신 한국개인정보법제연구회에 깊은 감사의 말씀을 드립니다. -편집자주-

◇2008년 수탁 회사 직원에 의한 개인 정보 유출 사건

(대법원 2012. 12. 26. 선고 2011다59834, 2011다59858(병합), 2011다59841(병합) 손해배상(기))

2008년 2월 인터넷 오픈마켓 사이트가 해킹되어 약 1천800만명의 개인정보가 유출된 이후인 그해 8월 보너스카드 고객 약 1천100만명의 개인정보가 유출되는 사건이 발생했습니다.

이 사건은 기존 오픈마켓 사이트 해킹 사건과 달리 개인정보가 위탁회사의 직원에 의해 유출된 사건입니다.

이 사건에서 대법원은 직원에 의해 개인정보가 유출 된 경우 손해배상이 인정되는지에 관한 판단 기준 7가지 항목을 최초로 제시했습니다. 위 기준은 이 대법원 판결 이후 계속하여 판결에 인용되고 있습니다.

이 사건의 특이점은, 개인정보가 유출되기는 하였으나 그 직후 수사기관에 의해 적발되었고 개인정보 저장 매체가 회수되어 판매(유통)되지 않았다는 점입니다. 이 사건 대법원 판결은 개인정보가 회수되어 제3자의 열람 가능성이 없고 추가적인 피해가 발견되지 않았다고 보아 원고들의 정신적 손해배상 청구를 인정하지 않았습니다. 이 대법원 판결 이후 개인 정보가 유출되었더라도 실질적으로 유통되지 않았다면 손해배상이 인정되지 않는 경향이 계속 유지되고 있습니다.

◇개인정보 유출 사건 발생

B사는 주유 및 홈쇼핑 등 사업을 하는 회사로서 고객서비스센터의 운영을 위해 보너스카드 회원으로 가입한 고객들의 개인정보를 데이터베이스를 구축하고 이 운영 및 관련 장비 유지・보수 업무 등을 N사에게 위탁하였습니다.

N사의 관리팀 소속 직원인 소외 1은 시스템 및 네트워크 관리 업무를 담당하는 자로서 고객센터 DB에 접근할 권한이 있었습니다. 소외 1은 동료인 소외 2와 함께 고객 정보를 빼낸 후 시중에 판매하거나 집단 소송을 할 변호사에게 판매하여 금원을 취득하기로 모의하였습니다. 또한 소외 1은 친구인 소외 3에게 이 범행에 동참할 것인지 확인한 후 판매처를 알아보도록 하였고, 위 소외 3은 지인인 소외 4에게 범행 동참 여부를 확인한 후 판매처를 알아보도록 시키는 등 순차로 공모하였습니다.

소외 1은 2008년 7월 8일경부터 같은 달 20일경까지 평소 사용하던 업무용 컴퓨터의 데이터베이스 원격관리 프로그램에 평소 알고 있던 계정을 입력하여 접속하여 보너스카드 회원 약 1천100만명의 이름, 주민등록번호, 주소, 전화번호, 이메일 주소 등을 자신의 업무용 컴퓨터로 전송받아 76개의 엑셀파일로 저장하였습니다.

소외 1은 위 엑셀파일을 DVD와 외장형 하드디스크에 복사하였고, 소외 2는 위 DVD 중 1장을 받아 편집하였으며, 소외 1은 편집된 파일을 DVD 1장에 복사하여 8월 31일 지인인 소외 5를 만나 판매처를 물색하여 달라며 외장하드디스크에 개인정보 파일을 복사해 주었습니다. 소외 1은 소외 4에게 DVD를 주었고 소외 4는 8월 28일 법무법인 사무장인 소외 6을 만나 “B사 개인정보를 가지고 있는데 이를 집단소송에 활용하여 수익을 달라”고 제의하였고 소외 6은 집단 소송을 위해서는 먼저 개인정보유출사실이 언론에 보도되어 사회문제가 되어야 한다고 말했습니다.

소외 4는 기자들과 PD 및 PD의 친구를 만난 자리에서, “도심 쓰레기 더미에서 B사 고객정보가 담긴 DVD를 주웠다.”는 취지로 말하며 위 사람들에게 샘플 CD와 DVD를 교부하였습니다. 기자 중 한 명은 2008. 9. 4.경 B사에 위 고객정보가 B사 고객정보가 맞는지 문의하였고, “서울 도심 한복판 쓰레기 더미에서 1,***만명이 넘는 개인정보가 담긴 ‘N사 고객명단’이라고 적힌 CD가 발견되었다.”는 내용이 언론에 보도되었습니다.

언론보도가 된 9월 5일 소외 1, 2, 3이 검거되었고, 다음날 소외 4가 검거되었으며, 소외인들이 소지했던 CD, DVD, USB, 외장형 하드디스크, 작업에 사용된 컴퓨터, 노트북 등은 모두 압수되었거나 폐기되었습니다. 기자들에게 제공된 자료는 전량 임의제출 되었습니다.

이 사건 이후 소외 1, 2, 3, 4는 정보통신망에 의하여 처리・보관 또는 전송되는 타인의 비밀을 침해하고 이를 누설한 행위로 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반으로 1심에서 소외 1은 징역 1년 6월, 소외 2, 3, 4는 각 징역 1년의 형을 선고받았고 2심에서 소외 3에 대해 징역 8월의 형이 선고되었고 이는 항소심에서 확정되었습니다.

◇이 사건의 쟁점

이 사건에서 피고들은, 소외 1과 공범들이 개인정보를 열람하고 기자들도 이를 열람하였으나 실질적으로 내용을 파악한 것은 아니고 공범들은 단지 파일 정리를 하는 과정에서 열람한 것이며 기자들도 유출 사실을 확인하기 위해 열람한 것일 뿐이고 이들 외의 제3자에게 이 사건 개인정보가 제공되지는 않았으므로 원고들의 손해가 발생하지 않았다고 주장하였습니다. 이에 따라 개인정보가 유출되었으나 제한적인 인원이 열람한 경우 원고들의 손해가 인정되는지가 쟁점이 되었습니다.

이 사건 판결은 피고들의 주장을 인용하여 개인정보가 유출되었으나 공범 및 기자들 외의 제3자에게 제공되지는 않았다고 보아 원고들의 손해를 인정하지 않았습니다.

한편 이 사건 판결은 손해가 발생하지 않았다는 점을 중점으로 판단함으로서 기술적 ‧ 관리적 조치에 관하여는 구체적으로 판단하지 않았습니다. 그러나 이 사건 유출 과정에서 문제된 기술적 ‧ 관리적 보호조치 사항이 관련 고시에 반영되었습니다.

이 사건에서 소외인들은 유출한 개인정보를 DVD에 저장하여 유출하였는데 이는 개인정보처리자인 피고 B회사가 수탁사 직원이 임의로 방대한 개인정보에 본사의 허락 없이 접근하여 다운로드 받을 수 있었던 점이 문제되었고, 업무용 컴퓨터에서 DVD에 개인정보를 저장하는 등 업무용 컴퓨터에서 보조저장매체에 쓰기 방지 등의 보호조치가 이루어지지 않아 문제되었습니다. 또한 수탁사 직원인 소외인들이 이 사건 개인정보를 유출한 것이므로 수탁사 직원에 대한 관리‧감독 의무 위반이 문제되었으며 수탁사의 직원에 대한 사용자 책임이 쟁점이 되었습니다.

나아가 개인정보에 데이터베이스에 저장된 개인정보가 암호화하여야 유출되더라도 개인정보의 식별을 막을 수 있다는 점에서 암호화 조치 의무의 필요성이 높아지게 되었습니다.

◇대법원 판결 요지

가. 정신적 손해가 발생했는지 여부에 관한 판단 기준 항목 7가지

이 사건 대법원 판결(2011다59834)은 개인정보의 내부 유출 사고에서 정신적 손해배상을 인정할지 여부를 판단할 기준을 다음과 같이 제시하였습니다.

“개인정보를 처리하는 자가 수집한 개인정보를 그 피용자가 해당 개인정보의 정보주체의 의사에 반하여 유출한 경우 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지 여부는, ①유출된 개인정보의 종류와 성격이 무엇인지, ②개인정보의 유출로 정보주체를 식별할 가능성이 발생하였는지, ③제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 그 열람 가능성이 있는지, ④유출된 개인정보가 어느 범위까지 확산되었는지, ⑤개인정보의 유출로 추가적인 법익침해의 가능성이 발생하였는지, ⑥개인정보를 처리하는 자가 개인정보를 관리해온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, ⑦개인정보의 유출로 인한 피해의 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다.”

▲ 대법원의 정신적 손해배상 인정 여부 판단 기준(대법원 2011다59834). 한국개인정보법제연구회 제공.
▲ 대법원의 정신적 손해배상 인정 여부 판단 기준(대법원 2011다59834). 한국개인정보법제연구회 제공.
나. 유출되었지만 유통되지 않아 손해가 발생하지 않았다고 판시

대법원은, “①이 사건 개인정보는 소외 1에 의해 유출되었고 공범들에게 전달 또는 복제되었고, 이후 언론관계자 등에게 유출되었지만 언론 보도 직후 사건 이 사건 관련 저장매체 등이 모두 압수, 임의제출, 폐기된 점, ②한정된 범위의 사람들에게 개인정보가 전달 또는 복제된 상태에서 범행이 발각되어 저장매체가 회수・폐기되었고 그 밖에 이 사건 개인정보가 유출된 흔적이 보이지 않아 위 사람들 외의 제3자가 이 사건 개인정보를 열람하거나 이용할 수 없어 보이는 점, ③정보를 유출한 범인들이나 언론관계자들이 개인정보 일부를 열람한 적은 있으나, 범인들의 열람은 저장・편집・복사하는 과정에서 이루어진 것으로서 이 사건 개인정보의 내용을 지득하거나 이용할 의사가 있었다고 보기 어렵고, 언론관계자들도 언론보도를 위한 취재 및 보도과정에서 이 사건 개인정보의 존재 자체와 규모, 그 정확성을 확인할 목적으로 열람한 것이어서 이 사건 개인정보의 구체적 내용을 인식한 것으로는 보이지 아니하며, 이 사건 개인정보의 종류 및 규모에 비추어 위와 같은 열람만으로는 특정한 개인정보를 식별하거나 알아내는 것은 매우 어려울 것으로 보이는 점, ④이 사건 개인정보유출로 인하여 원고들에게 신원확인, 명의도용이나 추가적인 유출 등 후속 피해가 발생하였음을 추지할만한 상황이 발견되지 않는 점 등의 사정이 인정되고, 이러한 제반 사정을 앞서 본 법리에 비추어 보면 이 사건 개인정보의 유출로 인하여 원고들에게 위자료로 배상할 만한 정신적 손해가 발생하였다고 보기는 어렵다고 할 것이다.”라고 판단하였습니다.

◇판결의 시사점

가. 개인정보 내부 유출의 경우 손해배상 판단 기준 제시

개인정보 유출 사건은 크게 두 가지 유형으로 분류할 수 있는데, 첫 번째는 해킹 등 외부적인 요인에 의한 유출이고, 두 번째는 내부적인 요인에 의해 발생한 유출로서 대표적으로는 이 사건과 카드3사 유출 사건이 있으며 이 두 사건은 모두 서버 접근 권한이 있는 수탁사 직원에 의하여 발생한 사건입니다.

이 사건에서 대법원은 최초로, 개인정보가 내부 직원을 통해 유출의 경우 원고들의 정신적인 손해배상이 인정되는지 여부를 판단하기 위한 7가지 항목으로서 유출된 개인정보 성격, 유출되었으나 회수되었는지 등(제3자의 열람 가능성) 등을 제시하였고 이 기준은 추후 연재할 카드3사 유출 사고 판례에서도 적용됩니다.

나. 유출되더라도 유통되거나 제3자에게 열람될 가능성이 없다면 손해배상 인정이 어려움

이 사건 판결은, 유출자들이 개인정보를 판매하기 전에 수사기관에 의해 검거되고 개인정보 저장매체가 임의제출 및 압수되어 모두 회수되었다는 이유로 원고들의 정신적 손해배상 청구가 인정되지 않았습니다.

이 사건 이후 발생한 카드3사 개인정보 유출 사고 중 2013년에 발생한 R카드사 2차 유출 사고의 경우에도 유출자가 유출된 정보를 보관 중에 수사기관에 의해 검거되어 유통되지 않아 손해배상 책임이 인정되지 않기도 하였습니다. 이는 개인정보가 유출되었더라도 유통되지 않아 추가적인 피해가 없다면 손해배상을 인정하지 않는 이 사건 대법원 판결의 태도가 반영된 것이라 하겠습니다.

◇이 사건 이후 관련 고시의 변화

이 사건의 영향으로 정보통신망법 고시인 〈개인정보의 기술적․관리적 보호조치 기준〉이 다음과 같이 개정되었습니다.

PP-2-1.jpg
가. 보조저장매체 반‧출입 통제 규정 신설

이 사건에서 소외인들은 유출한 개인정보를 DVD와 CD에 저장하여 유출하였습니다. 이후에 발생한 카드3사 사건에서는 수탁사 직원이 USB에 개인정보를 저장하여 유출하였고 이와 같은 행태가 반복되자 2015년 고시에서는 개인정보가 포함된 보조저장매체의 반출‧입을 통제하는 보안대책을 마련하도록 하는 규정이 새로 신설되었습니다.

나. 수탁사 직원에 의한 유출 방지를 위해 수탁자 관리 ‧ 감독 강화

이 사건은 수탁회사의 직원의 유출 행위에 의한 것이고, 카드3사 사건에서도 수탁사 직원에 의해 유출된 것으로서 수탁사에 대한 관리‧감독의 중요성에 대한 인식이 높아졌습니다. 이에 따라 2015년 고시는 정보통신서비스제공자가 내부관리계획 단계에서부터 수탁자에 대한 관리 및 감독에 관한 사항을 정하여 개인정보 보호 조직을 구성•운영할 의무를 부담하도록 하는 내용을 신설하였습니다.

다. 주민번호를 암호화하여 저장하도록 함

개인정보를 암호화하여 저장하여야 한다는 쟁점은 이 사건보다 앞서 발생했던 2008년 A사 사건에서도 부각되었던 쟁점입니다.

2009년 개정된 고시에 주민번호를 암호화 대상에 명시적으로 포함한 것은 A사 사건의 영향이 클 것이기는 하나 이 사건에서도 서버에 개인정보가 암호화 되어 저장되었다면 개인정보가 유출된 상황에서 피해를 줄일 수 있었을 것이라는 점에서 A사 사건과 더불어 이 사건 고시의 개정에 영향을 주었을 것으로 생각됩니다.

주민등록번호 암호화 쟁점은 여러 사건에서 문제가 된 만큼 개인정보보호법에도 반영되었습니다. 개인정보보호법 및 동 시행령은 개인정보처리자가 주민등록번호를 전자적인 방법으로 보관하는 경우에는 암호화 조치를 하도록 하였습니다(2014. 3. 24. 개정된 개인정보보호법 및 2015. 12. 30. 개정된 시행령 제21조의2 제2항). 이에 따라 주민등록번호를 내부망에 저장하는 경우에는 무조건 암호화하도록 해야 합니다.

◇개인정보 처리자에 대한 시사점

이 사건의 경우 손해배상의무가 인정되지 않았으나 개인정보처리자는 이 판결의 결론에 안심하지 않아야 합니다. 유사한 사건이 현재에 발생한다면 위에서 살펴본 것과 같이 관련 고시에, 개인정보 처리업무 위탁시 수탁자에 대한 관리‧감독 의무, 개인정보처리시스템 접근 권한 통제, 저장매체 저장 통제 등의 규정이 강화되었으므로 손해배상 의무가 인정될 가능성이 이 사건 판결 당시보다 높아졌다는 점을 명심하여야 합니다.

이를 방지하기 위해서는 보조저장매체 등 반입과 반출을 허가사항으로 하여 엄격히 감독하고, 개인정보를 저장할 수 없도록 하는 조치가 필요해 보입니다. 또한 주민등록번호 암호화 규정이 신설된 만큼 이 사건과 유사한 사건이 다시금 발생한다면 개인정보처리자의 주의의무 위반이 인정될 가능성이 있는 만큼 위에서 중요하게 거론된 기술적 보호조치를 엄격하게 시행하여야 할 것입니다.

◇개인정보처리자가 주의해야 할 기술적 보호조치
1. 보조저장매체 반‧출입 통제
2. 업무용 컴퓨터 등에서 USB, CD, 외장하드 등 보조저장매체에 쓰기 금지
3. 개인정보가 보조저장매체에 저장되지 않도록 조치
4. 주민등록번호는 반드시 암호화하여 저장

[글. 한국개인정보법제연구회 / 블로그 https://blog.naver.com/kadp02 / 페이스북

https://www.facebook.com/kadp02 /이메일 kadp02@naver.com]

※한편 이번 기고 내용은 오는 4월 10일 개최되는 상반기 최대 개인정보보호 컨퍼런스인 G-PRIVACY 2019에서 세션 발표로 실무자들에게 소개될 예정이다.  

▶G-PRIVACY 2019 등록: http://conf.dailysecu.com/conference/g-privacy/2019.html

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

관련기사