개인정보 판례 관련 세번째 글입니다. 이번에는 침해사고 발생 시에 사용된 해킹 기술이 재판 결과에 어떤 영향을 줄 수 있는지 알아보겠습니다. 본 케이스 역시 실제 재판 결과를 토대로 작성한 글입니다.
 
LG전자는 2006년 9월에 하반기 신입사원 공고를 했는데 다른 곳과 마찬가지로 인터넷을 통해 지원자를 접수받았습니다. 안타깝게도 접수 처리를 하였던 웹 페이지 서비스에 취약점이 존재하였는데, 이를 악용할 경우 LG전자 지원자들의 지원서를 임의로 볼 수 있었습니다. 문제는 불합격 통지를 받은 지원자 중에 한 명이, 웹 사이트 상에서 취약점을 발견하였고 이 문제점을 인터넷에 공개하였습니다.
 
취약점 정보가 공개된 후, 인터넷의 불특정 다수가 해당 자료에 대해서 열람을 시도하였고, 결과적으로 총 3,000여명의 입사지원서가 열람 당하였습니다. 재판 결과, 위자료는 30만원으로 책정되었고, 이 액수는 기존의 다른 침해사고 판례들에 비교한다면 높은 액수입니다. 사유는 다음과 같습니다.
 
1. LG전자의 보안조치는 당시의 기술수준에 비추어 충분하다고 볼 수 없는 점
2. LG전자 시스템의 모니터링이 아니라 다른 인터넷 게시판의 모니터링을 통하여 이 사건 사고를 발견하였고, 그로부터 1시간 8분이 경과한 후 해당 웹 서버가 차단되기까지 입사지원자들의 정보를 열람할 수 있었던 점
3. 사고 발생 하루 후에 입사지원사이트에 사고발생사실을 게시하였을 뿐 입사지원자들 에게 이메일 등을 통해 안내한 바 없고, 소송에 이르기 전까지 입사지원자들에게 개 인정보 유출 여부와 유출된 정보가 무엇인지 확인하여 준 바 없는 점
4. 개인사, 가족관계, 가치관 등 사적인 영역의 민감한 정보까지 침범당하였던 점
5. 위 게시글이 3,056회의 조회수를 기록하였고, 입사지원자들의 등록정보를 열람한 IP주소가 671개이며, 3,000여명의 입사지원서가 열람당한 점
 
위 사유에서 기술적인 면으로 주목할만한 부분은 “LG전자의 보안조치는 당시의 기술수준에 비추어 충분하다고 볼 수 없는 점“입니다. 재판부는 무엇 때문에 그렇게 생각했고, 또 이러한 판례가 보안담당자들의 정책에 영향을 주는 부분은 무엇인지 알아보겠습니다.
 
재판 과정에서 재미있는 일이 있었습니다. “LG전자 해킹에 사용된 해킹 기법이, 다른 대기업의 입사 사이트에도 적용되는지 알아보자“라는 의견이 제시되었던 것이죠.
 
LG전자 해킹에 어떤 기법이 사용되었는지 정확히 알 수는 없지만, 웹 해킹 취약점이었고 또, 다른 제 3자들도 쉽게 열람이 가능했다는 점에 의하면 “LFI“, “SQL Injection” 혹은 “단순 인자 조작” 정도였을 것입니다.
 
아마도 LG전자 해킹에 사용되었던 웹 요청 중의 일부를 copy & paste를 하여, 다른 대기업의 입사 사이트에도 시도를 해보았을 것으로 생각됩니다. 다른 사이트에서는 문제가 없었다고 합니다.
 
이것이 판결에 영향을 준 것이죠. 쉽게 말하면, “대기업 사이트라면 이 정도 난이도의 취약점은 발견되어선 안된다. 그 증거로 이 취약점은 LG전자에만 존재하지 않느냐“라고 생각될 수도 있다는 것이죠.
 
사실 해커 관점에서 봤을 때, 이러한 방식의 테스트가 공정하다고 생각하진 않습니다. 웹 해킹의 특성상 똑같은 원리의 취약점이라도 다른 모듈에서 발생하거나 혹은 문자열 몇 개만 바꿔도 전혀 다른 결과가 나올 수 있기 때문입니다.
 
어쨌거나 이것이 보안 정책 담당자, 특히 엔지니어들에게 시사하는 점은, “소프트웨어 취약점이 재판 결과에 영향을 줄 수도 있다“라는 것입니다. 즉, 해킹 당한 취약점의 난이도에 따라 과중 처벌을 받을 수도 있다는 얘기입니다.
 
이런 시나리오도 있을 수 있습니다. S라는 기업에서 해킹 침해사고가 발생하였습니다. 개인정보 유출로 인해 피해를 입은 사람들이 고소를 하여 재판이 진행됩니다. 제가 만약 피해자 측의 변호사라면 S 기업의 웹 사이트와 제품들에 대해서 취약점 검증을 시도할 겁니다.
 
검증을 하다가 쉬운 난이도의 취약점을 찾는다면 재판에 있어서 좋은 무기가 될 수도 있습니다. 왜냐하면 이런 증거들은 S 기업이 평소에 얼마나 많이 보안에 관심을 기울이는 기준이 될 수도 있기 때문입니다.
 
얼핏 보기에는 침해사고 자체와는 관련이 없어 보이는 부분이 판결에 중요한 영향을 준다는 점에서 주목해야 합니다. 이러한 판결을 참고하는 것은 기업 입장에서는 무척 중요한데, 그 이유는 정보보호 관련 재판들은 아직까지 그 사례가 많이 없었고 따라서 기존의 판례들이 앞으로의 재판들에도 영향을 미칠 것으로 보기 때문입니다.
[글. beistlab.com / 이승진]