2024-03-29 21:30 (금)
[한국사회를 변화시킨 9대 개인정보 유출사고 판례 분석④] 2012년 통신사 전산영업시스템 해킹 사건
상태바
[한국사회를 변화시킨 9대 개인정보 유출사고 판례 분석④] 2012년 통신사 전산영업시스템 해킹 사건
  • 길민권 기자
  • 승인 2019.04.05 01:12
이 기사를 공유합니다

개인정보처리시스템의 범위에 유의해 폭넓은 보호조치 해야

PC.jpg
한국개인정보법제연구회의 도움으로 한국사회를 변화시킨 9건의 개인정보 유출 사고와 해당 판례를 분석한 기고문을 게재합니다. 대량 개인정보 유출 사건을 중심으로 살펴보고 이 사건들이 우리나라 개인정보보호법에 어떤 영향을 미쳤는지 그리고 기업들은 어떤 부분을 주의해야 하는지 독자들과 공유하고 실무에 도움이 되는 시간이 되길 바랍니다. 의미있는 자료를 데일리시큐에 기고해 주신 한국개인정보법제연구회에 깊은 감사의 말씀을 전합니다. -편집자주-

◇해당 대법원 판결
1. 대법원 2018. 12. 28. 선고 2017다207994 판결 : 상고기각
2. 대법원 2018. 12. 28. 선고 2017다256910 판결 : 파기환송

◇참고 판결
1. 손해배상 인정 : 서울중앙지방법원 2014. 8. 22. 선고 2012가합83365 판결
2. 손해배상 불인정 : 서울중앙지방법원 2018. 1. 17. 선고 2015나61155 판결

1. 개인정보 유출 사건 발생

컴퓨터 프로그래머인 갑은 휴대전화 기기 변경에 관한 텔레마케팅 사업을 하던 중 지인인 을의 제안에 따라 텔레마케팅 영업을 위해 개인정보를 해킹하는 프로그램을 만들었습니다. 해커는 D 통신사의 무선전산영업시스템에 통신사 대리점 직원의 계정으로 접속해 서버 패킷을 캡처하고 이를 이용하여 인증 기능이 있는 서버를 우회하여 개인정보가 보관된 서버에 접근할 수 있는 프로그램을 만들었습니다. 해커는 이 해킹 프로그램으로 2012년 2월 20일 경부터 7월 13일 경까지 D 통신사 고객 정보 약 870만 건을 유출하였습니다. D사는 시스템 관리 회사에 신용정보가 비정상적으로 조회되었는지 등 신용정보 조회이력 검토를 요청하였고 이를 통해 비정상적인 사용 패턴을 감지한 후 해당 사용자에 대한 모니터링을 통해 2012년 7월 경 고객 정보 유출 정황을 발견하여 경찰에 신고하였습니다.

2. 관련 소송의 경과

가. 형사 사건 : 징역형 선고

소외 갑(해커)과 소외 을은 정보통신망법위반 등으로 각 징역 1년 6월의 판결을 선고받았고 항소심에서 위 판결이 확정되었습니다.

나. 민사 사건 : 원고들 패소 취지 대법원 판결 선고

이 사건 정보유출사고의 피해자들이 D 통신사를 상대로 제기한 민사 소송은 하급심에서 상반된 판결이 선고되었습니다. 일부 판결은 통신사가 원고들에게 손해배상으로 10만원을 지급하라고 판결하고 고등법원(2심)까지 위 판결이 유지되기도 하였으며 일부 판결은 통신사의 주의의무 위반을 인정하지 않았습니다.

최근 대법원은 원고들 패소 취지로 판결을 선고하였습니다. 대법원 2017다207994호 판결은 1심에서 원고들이 승소한 후 2심에서 원고들이 패소 사건에서 원고들의 상고를 기각하였습니다. 또한 대법원 2017다256910호 판결은 2심까지 원고들이 승소하였던 사건으로서 원고들이 승소(일부 승소 손해배상 10만원 인정)한 고등법원 판결을 원고들 패소 취지로 파기 환송하였습니다.

3. 이 사건의 주요 쟁점

이 사건은 정보통신망법 및 정보통신망법 고시인 〈개인정보의 기술적 ․ 관리적 보호조치 기준〉이 적용된 사건으로서, ① 접근통제(고시 제4조 제4항 또는 제5항), ② 퇴직자 계정 말소(제 4조 제2항), ③ 접속기록 확인 감독(제5조 제1항), ④ 암호화(제6조 제2항 또는 제3항)가 쟁점이 되었습니다. 최근 대법원은 D사의 주의의무 위반을 인정하지 않았으나 해당 재판에서 가장 첨예하게 주장이 대립되었던 부분을 확인하는 의미에서 일부 하급심 판결의 내용도 참고하여 봅니다.

k1-1.jpg

▲ 주요 쟁점 및 판결 요지
▲ 주요 쟁점 및 판결 요지
4. 판결의 요지

가. 접근 통제 조치에 관하여

고시 제4조 제5항은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 제한하는 기능을 포함한 시스템을 설치 ․ 운영하도록 하고 있습니다.

이 사건 전산영업시스템의 서버는 순차적으로, 포털 서버, 인증 서버, 중계 서버, 고객 정보 등이 저장된 서버로 구성되어 있습니다. 사용자가 시스템에 접근하는 경우 인증 서버가 계정 정상 여부를 확인하여 포털 서버에 인증 토큰을 발급하고, 사용자가 메뉴를 선택하여 고객 정보를 요청할 때 인증 서버가 인증토큰의 유효성을 다시 확인하며 유효하지 않은 경우 접속을 차단합니다. 그러나 이 사건 해커는 UI가 중계 서버와 통신하기 위하여 필요한 헤더 정보의 변수 값에 해당하는 임의의 값을 찾아내 인증 서버를 통하지 않고 곧바로 중계 서버와 통신을 하여 고객 정보를 유출하여 접근 통제 장치의 적용을 받지 않았습니다.

대법원 판결은, “피고의 시스템이 포털 및 인증 서버에만 접속 권한 인증절차를 두고, 그 이후 단계의 서버에는 별도의 인증절차를 두지 않았다는 것만으로는 위 고시 규정을 위반한 것으로 보기 어렵고, 피고가 포털 서버와 인증 서버에 갖추어 놓은 접근 통제 장치가 불완전하다고 보기 어렵다.”고 하여 D사의 주의의무 위반을 인정하지 않았습니다(대법원 2018. 12. 28. 선고 2017다207994 판결).

나. 퇴직자 계정 말소 조치에 관하여

고시 제4조 제2항에 의하면, 정보통신서비스 제공자 등은 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여야 합니다.

대법원은 “피고가 퇴직자의 계정을 인증 서버에서 폐기한 사실을 인정할 수 있으므로, 피고가 개인정보처리시스템에 대한 퇴직자의 접근권한을 말소하지 않았다고 볼 수 없다. 또 피고가 위 계정을 말소하였는지 여부는 이 사건 정보유출사고 발생과 인과관계가 없으므로 피고가 위 고시 규정을 위반함으로써 이 사건 정보유출사고가 발생하였다고 볼 수 없다(대법원 2018. 12. 28. 선고 2017다207994 판결).”고 판시하였습니다.

그러나 하급심 판결 중에서는, “개인정보처리시스템에 대한 접근권한은 단순히 인증절차를 통한 접속에 국한되는 것이 아니고 서버와 서버 사이의 이동, 데이터의 송수신 등을 통하여 개인정보처리시스템에 가까이 가는 것을 광범위하게 포함한다고 보는 것이 상당하며, (중략) 퇴직한 자의 계정으로는 어떠한 접근도 가능하지 않도록 계정을 전면적으로 폐기하거나 계정에 표식을 부여하는 방법, 계정을 변경하는 방법 등으로 개인정보처리시스템의 전 과정에서 식별되어 접근하지 못하도록 하는 조치를 취하였어야 한다(서울중앙지방법원 2014. 8. 22. 선고 2012가합83365 판결).”는 취지로 인증 서버에서 퇴직자 계정을 삭제한 것만으로는 보호조치를 충분히 하였다고 볼 수 없다고 본 판결도 있었습니다.

다. 접속기록 점검 조치에 관하여

이 사건 고시 제5조 제1항에 의하면, 정보통신서비스 제공자 등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인 ‧ 감독하여야 합니다. 이 사건 인증 서버에는 접속 기록이 기록 ․ 보관되어 있고, 1일 1,000건이 넘는 고객정보 조회 내역이 탐지되는 경우 경고 메시지를 보내는 등의 기능이 포함되어 있으나 이후 서버에는 그러한 기능이 없었습니다. 이 사건 해킹 프로그램은 인증 서버를 우회하여 바로 중계 서버에 접근하여 1주일에 한 번 10만 건 정도의 개인정보를 조회하였습니다.

대법원은, 인증 서버에 접속 기록 통제 기능이 설계되어 있고 피고로서는 제3자가 인증 서버를 우회하여 시스템에 접속할 가능성을 예견하기 어려웠을 것으로 보이는 점 등을 고려하여 피고가 인증 서버 단계에서 접속기록을 보관 ‧ 확인 ‧ 감독한 이상 고시를 위반하였다고 보기 어렵다고 판시하였습니다(대법원 2018. 12. 28. 선고 2017다256910 판결, 대법원 2018. 12. 28. 선고 2017다207994 판결).

이에 관하여 하급심에서는 “접속 기록의 통제는 시스템 전반적으로 보아야 하지 인증 서버에 대해 접속 기록 통제를 하였다고 주의의무를 다한 것은 아니며, 오히려 실제 개인정보를 처리하고 저장하는 보다 중요한 기능을 하는 서버들에 대한 접속권한 통제가 더 중요하다.”고 보아 주의의무를 위반했다고 본 판결도 있었습니다(서울중앙지방법원 2014. 8. 22. 선고 2012가합83365 판결).

라. 암호화 조치에 관하여

이 사건의 경우 대리점 PC의 VPN 장비를 거친 후 암호화된 데이터가 복호화되어 패킷상에 실사용자 주민등록번호가 평문으로 노출되었습니다. 이에 관하여 주민등록번호 등을 암호화하여 저장할 의무(고시 제6조 제2항) 및 정보통신망을 통해 이용자의 개인정보 등을 송‧수신할 경우 안전한 보안서버 구축 등의 조치를 통해 암호화 할 의무(6조 제3항)를 준수했는지 쟁점이 되었습니다.

대법원은, “D사가 고객정보를 데이터베이스 서버에 저장할 때 암호화조치를 취하였다고 본 다음, D사가 전산영업시스템을 통해 대리점 컴퓨터에 고객정보를 전송함에 있어 두 가지 방식으로 이를 암호화하여 전송하였는데 다만 대리점의 VPN(가설사설망) 장비를 거친 후 대리점 컴퓨터에 이르는 구간에서 여러 고객정보 중 주민등록번호가 암호화되지 않은 상태로 노출된 것으로 보이지만 해커가 이를 확인한 곳은 대리점 PC의 내부 영역이므로 위 규정에 따라 암호화가 요구되는 영역이 아니다(대법원 2018. 12. 28. 선고 2017다207994 판결).”라고 판시하였습니다.

5. 이 사건 이후 관련 고시의 변화

가. 개인정보보호법 고시에 접속기록 반기별 점검 규정 신설

기존 개인정보보호법 고시인 <개인정보의 안전성 확보조치 기준>에는 접속기록을 6개월 이상 보관할 의무가 규정되어 있었으나 이 사건 이후인 2014. 12. 30. 개정되어 개인정보처리시스템의 접속기록을 반기별로 1회 이상 점검할 의무가 신설되었습니다(제7조 제2항). 참고로 이 사건 재판에 적용된 정보통신망법 고시에는 월 1회 접속기록을 정기적으로 확인‧감독할 의무가 규정되어 있습니다(제5조 제1항).

나. 개인정보보호법 고시에 “개인정보처리시스템”의 개념 확장

이 사건 이후인 2016. 9. 1. <개인정보의 안전성 확보조치 기준>상 개인정보처리시스템의 개념이 보완되어 개정되었습니다. 기존에는 “개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.”고 규정되어 있었으나 개정된 이후에는 “개인정보처리시스템이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다(제2조 제10호)”고 규정되어 문언상으로도 더 이상 DB만을 의미하는 것이 아님을 분명히 하고 있습니다.

다. 고시 해설서에 우회 접근을 고려 및 다수 시스템 접근 권한 말소 명시

이 사건 이후 방송통신위원회․한국인터넷진흥원은 「개인정보의 기술적・관리적 보호조치 기준 해설서(2017. 12)」를 개정하여 접근 권한 말소에 관하여 보다 자세하게 규정하였습니다. 동 해설서는 고시 제4조 제2항 관련 접근권한 변경 ․ 말소 미조치 사례로서, “다수 시스템의 접근권한 변경 ․ 말소가 필요함에도 일부 시스템의 접근권한만 변경 ․ 말소할 때, 접근권한의 전부를 변경・말소하여야 함에도 일부만 변경 ․ 말소할 때, 접근권한 말소가 필요한 계정을 삭제 또는 접속차단조치를 하였으나, 해당 계정의 인증값 등을 이용하여 우회 접근이 가능할 때 등”을 예로 들고 있습니다.

6. 판결의 시사점

개인정보처리시스템의 범위에 유의하여 폭넓은 보호조치를 하여야 합니다

이 사건 이전에 판례는 개인정보처리시스템을 DB에 한정된 개념으로 보았으나 이 사건 1심과 2심 판결들은 개인정보처리시스템을 DB 외 어플리케이션 등까지 포함하는 개념으로 보고 있습니다(대법원 판결은 이에 관하여 명시적으로 판결하지 않았습니다). 하급심에서 이 사건 원고들이 패소한 판결과 원고들이 승소한 판결 모두 DB 뿐 아니라 아니라 DB에 접근하기 위한 중계서버, 어플리케이션도 포함된다고 보아 이 사건 전산영업시스템 전체를 개인정보처리시스템이라고 보았습니다(원고들이 승소한 서울중앙지방법원 2014. 8. 22. 선고 2012가합83365 판결과 원고들이 패소한 서울중앙지방법원 2018. 1. 17. 선고 2015나61155 판결 비교).

다만 이 사건 판결 중 D사의 주의의무 위반을 인정하지 않은 판결들은, 전산영업시스템 중 인증 서버에 접속 기록 확인 ․ 감독 기능이 있다면 개인정보처리시스템 내부에 접속 기록 확인 기능이 있는 것이므로 고시를 준수한 것이라고 본 반면, D사의 주의의무 위반을 인정한 판결들은 개인정보처리시스템을 전반적으로 보아 개인정보처리에 직접 관여하거나 개인정보를 저장하는 서버에도 접속 기록 확인 감독 기능을 두어야 한다고 보아 최종 결론에 있어 차이점을 보였습니다.

한편 이 사건 이후인 2014년 홈페이지 해킹 사건의 경우 개인정보처리시스템의 범위를 DB에 한정하는 것으로 해석하고 있고 위 사건에 관하여는 아직 대법원 판결이 선고되지 않은 상태로서 현재 개인정보처리시스템의 범위에 관하여는 판례가 확립되었다고 보기는 어렵습니다.

그러나 개인정보보호법 고시가 개정되어 개인정보처리시스템의 해석 범위가 확장된 점을 반영하여 이제는 개인정보처리시스템의 범위에 관하여 주의를 기울여 DB 서버 뿐 아니라 DB 서버에 접근하기 위한 서버 및 어플리케이션에 관하여도 보호조치 필요 여부를 검토하여 폭넓은 보호조치를 취하는 것이 좋겠습니다.

[글. 한국개인정보법제연구회 / 블로그 https://blog.naver.com/kadp02 / 페이스북

https://www.facebook.com/kadp02/이메일 kadp02@naver.com]

※한편 이번 기고 내용은 오는 4월 10일 개최되는 상반기 최대 개인정보보호 컨퍼런스인 G-PRIVACY 2019에서 세션 발표로 실무자들에게 소개될 예정이다.
▶G-PRIVACY 2019 등록:
http://conf.dailysecu.com/conference/g-privacy/2019.html

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

관련기사