2019-08-23 11:43 (금)
[한국사회를 변화시킨 9대 개인정보 유출사고 판례 분석③] 2011년 커뮤니티・포털 서비스 개인정보 3천만건 유출
상태바
[한국사회를 변화시킨 9대 개인정보 유출사고 판례 분석③] 2011년 커뮤니티・포털 서비스 개인정보 3천만건 유출
  • 길민권 기자
  • 승인 2019.03.21 22:52
이 기사를 공유합니다

법적 보호조치에 안심하지 말고 필요한 보호조치 스스로 판단해 시행해야

broken-business-2237920_640.jpg
한국개인정보법제연구회의 도움으로 한국사회를 변화시킨 9건의 개인정보 유출 사고와 해당 판례를 분석한 기고문을 게재합니다. 1천만건 이상의 개인정보 유출 사건을 중심으로 살펴보고 이 사건들이 우리나라 개인정보보호법에 어떤 영향을 미쳤는지 그리고 기업들은 어떤 부분을 주의해야 하는지 독자들과 공유하고 실무에 도움이 되는 시간이 되길 바랍니다. 의미있는 자료를 데일리시큐에 기고해 주신 한국개인정보법제연구회에 깊은 감사의 말씀을 드립니다. -편집자주-

◇해당 판결

-대법원 2018. 1. 25. 선고 2015다24904, 2015다24911(병합), 2015다24928(병합), 2015다24935(병합) 판결 손해배상(기)

-대법원 2018. 6. 28. 선고 2014다20905 판결 위자료


1. 2011년 커뮤니티・포털 서비스 개인정보 유출 사건 발생

C 주식회사는 인터넷에서 검색, 커뮤니티 등을 기반으로 각종 정보를 제공하는 포털서비스를 제공하는 회사로 포털, 메신저, 커뮤니티 등의 온라인 서비스를 제공하는 회사입니다.

중국에 거주하는 것으로 추정되는 신원불명의 해커는 2011년 7월 21일 00시40분 경 C사의 DB 기술팀 직원 컴퓨터에, 윈도우 예약작업을 이용해 해커가 미리 설정해 놓은 임의의 도메인에 역접속을 시도하는 악성프로그램을 유포했습니다. 그 후 2011년 7월 26일부터 7월 27일까지 위 직원 컴퓨터에 원격으로 접속한 상태에서 C사의 포털 서비스와 커뮤니티 서비스 회원정보가 별개로 저장되어 있는 각 데이터베이스 서버, 중복 회원정보가 저장되어 있는 데이터베이스 서버에 침입하여 위 각 서버에서 처리‧보관 중인 개인정보를 유출했습니다.

이 해킹 사고로 인해 포털 서비스 또는 커뮤니티 서비스의 회원 3천만명의 개인정보가 유출되었고 유출된 개인정보에는 성명, 주민등록번호, 아이디(ID), 비밀번호, 이메일 주소, 주소, 전화번호 등이 포함되어 있습니다. 피고는 2011년 7월 28일 이 사건 해킹사고를 신고하였고 회원들에게 유출 사실을 공지하였습니다.

2. 관련 소송의 경과

이 사건에 관해 약 5천명이 20건 가량의 소송을 제기한 것으로 알려져 있습니다. 이 중 최초로 제기된 소송은 원고가 1명이었으나 1심에서 300만원 청구 중 100만원이 인정되는 등 개인정보 관련 판결 중 가장 큰 액수의 손해배상 금액이 화제가 되었습니다. 2심에서도 손해배상액이 줄었으나 원고가 승소하였는데 대법원에서 원고 패소 취지로 파기 환송되어 현재 파기 환송심이 진행 중인 사건입니다.

그 이후 집단 소송이 제기되었고 1심에서 4건의 사건이 병합되어 원고에 2천여 명의 청구에 관해 심리가 이루어졌는데 1심 판결은 원고들이 각 청구한 100만원 중 20만원의 손해배상액을 인정하였습니다. 그러나 2심에서 원고 승소 판결이 뒤집혀 원고들이 패소하였고 대법원에서 원고 패소 판결이 확정되었습니다.

g-1-1.jpg
3. 이 사건의 쟁점

이 사건에서는 ①개인정보 유출 차단 및 탐지(고시 4조 제5항 )와 관련하여 피고에게 실시간 모니터링 및 비정상적 트래픽 감시 의무가 있는지 여부 ②개인정보시스템에 접속시 불법접근차단을 위해 IP접근을 통제했는지 여부(고시 4조 제5항 제1호) ③피고 직원이 공개용 압축프로그램을 사용한 점에 피고 과실이 있는지 여부 ④FTP 방식을 통해 유출된 점에 과실이 있는지 여부 ⑤퇴근 시 로그아웃을 하지 않은 점 및 자동 로그아웃 기능을 설치하지 않은 점에 과실이 있는지 여부 ⑥MD5 방식의 해시함수를 사용해 개인정보를 암호화한 점에 관하여 과실이 있는지 여부 ⑦외부에서 개인정보처리시스템 접속시 안전한 인증수단을 구비했는지 여부(고시 4조 제4항) 등이 쟁점이 되었습니다.

g-2-1.jpg
4. 대법원 판결 요지

“사회통념상 합리적으로 기대 가능한 보호조치를 다하지 않은 경우 위법”

이 사건에 대한 대법원 판결은(2015다24904 판결 등), “이 사건 고시는 정보통신서비스 제공자가 반드시 준수해야 할 최소한의 기준을 정한 것으로 보는 것이 타당하다. 따라서 고시에서 정하고 있는 기술적・관리적 보호조치를 다하였다고 하더라도, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는 위법행위로 평가될 수 있다”고 판시하여, 이전의 대법원 판결이 “고시에 열거된 보호조치를 준수하면 족하다”고 보았던 것과 달리 고시에 없는 보호조치를 취할 의무가 있다는 점을 인정하였습니다.

“고시의 기술적‧관리적 보호조치를 다했더라도 타인의 불법행위를 용이하게 하였다면 손해배상 의무 인정될 수 있다”

또한 대법원 판결은 정보통신서비스 제공자의 방조 책임의 근거에 관하여도 “정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적・관리적 보호조치를 다하였다고 하더라도, 불법행위에 도움을 주지 말아야 할 주의의무를 위반하여 타인의 불법행위를 용이하게 하였고 이러한 방조행위와 불법행위에 의한 피해자의 손해 발생 사이에 상당인과관계가 인정된다면 민법 제760조 제3항에 따른 책임을 면할 수 없다(대법원 2007. 6. 14. 선고 2005다32999 판결 등 참조).”는 법리를 판단하였습니다.

“보안이 취약한 프로그램을 사용하였다면 이 같은 의무가 고시에 규정되어 있지 않더라도 주의의무 위반이 된다”

이 사건에서 C사 직원이 기업용이 아닌 공개용 압축프로그램을 업무용으로 사용한 것에 관하여 대법원 판결은, 공개용 압축프로그램을 사용하지 말라는 점이 고시에 규정되어 있는 것은 아니지만 정보통신서비스제공자가 기업용이 아닌 이 사건 공개용 압축 프로그램을 사용한 점은 “보안에 취약한 프로그램을 사용하지 않을 의무”를 위반한 것이라고 보았습니다.

또한 FTP서비스를 사용한 점에 관하여 C사가 관련 고시에 명시된 규율 대상자는 아니나 보안이 취약한 FTP 프로그램을 사용하지 않을 의무가 있다고 판시하였습니다.

“C사 사건의 경우 공개용 압축프로그램, FTP 사용을 한 점은 잘못했으나 이 사건 해킹과 상당인과관계가 없어 손해배상이 인정되지 않는다”

다만, 이 사건 대법원 판결은 피고 C사의 보호조치가 부족하였더라도 해당 보호조치와 이 사건 해킹으로 인한 손해 사이에 상당인과관계가 없다고 보아 손해배상을 인정하지는 않았습니다. 해커가 어차피 계정을 알아냈으므로 공개용 알집프로그램을 통해 악성코드에 노출되지 않았더라도 개인정보 유출은 일어났을 것이라고 본 것입니다. 또한 이 사건의 경우 FTP 서비스 사용과 무관하게 해킹이 이루어질 수 있었을 것이라고 판단하였습니다.

5. 이 사건 이후 관련 고시의 변화

“망분리”, “최대접속시간 제한” 규정 신설

이 사건은 해커가 내부직원 컴퓨터를 악성코드로 감염시키고 이에 침입하여 계정을 얻은 후 인터넷으로 개인정보를 유출하였습니다. 이와 같은 유형의 사고를 방지하기 위해 정보통신망법 고시인 〈개인정보의 기술적 ․ 관리적 보호조치 기준〉에는 업무망과 외부 인터넷망을 분리하는 망분리 의무가 신설되었습니다(2013. 2. 18. 개정 고시 제2조 5호, 제4조 제6항).

이 사건 이후 개인정보취급자의 최대 접속시간 제한 규정이 신설(2015. 5. 19. 개정 고시 제4조 제10항)되었습니다. 이 사건에서 직원이 퇴근시 로그아웃을 하지 않았고 자동으로 로그아웃이 되지 않았던 점이 쟁점이 되었던 부분과 2008년 발생했던 내부 직원에 의한 유출사고를 방지 등의 취지와 관련 지을 수 있습니다.

과도하거나 비정상적인 접근 통제할 의무가 해설서에 명시

2008년 오픈마켓 해킹 사건과 이 사건에서는 해커가 업무시간이 아닌 새벽에 방대한 분량의 개인정보를 유출하였습니다. 이같이 과도하거나 비정상적인 접근을 통제할 의무가 있는지가 재판에서 쟁점이 되었고 판결에서 주의의무 위반이 인정된 사례는 없었습니다. 이 쟁점은 여러 개인정보 유출 사고에서 계속하여 쟁점이 되었고 2017. 12.자「개인정보의 기술적․관리적 보호조치 기준 해설서」에 과도하거나 비정상적인 접근을 통제하도록 하는 내용이 추가되었습니다.

6. 판결의 시사점 및 향후 대응 방안

가. 관련 고시상의 보호조치를 취한 것으로 안심하지 말고 필요한 보호조치를 스스로 판단해 시행해야 합니다.

이 사건 대법원 판결에서 알 수 있는 것처럼 앞으로는 고시에 규정된 기술적‧관리적 보호조치 뿐 아니라 기업 스스로가 자신에게 필요한 보호조치를 강구하고 그 시행을 점검할 필요가 있습니다.

나. 개인정보처리시스템의 접속‧다운로드의 이상징후를 실시간으로 탐지하여 개인정보 유출을 방지해야 합니다.

2008년 오픈마켓 사건과 이 사건에서 정보통신서비스제공자가 운영한 접속 탐지 시스템 등은 개인정보 유출을 한 비정상적인 접속 시도가 해당 보안 시스템의 기준보다 낮아 경보가 울리지 않았습니다.

개인정보처리시스템에 대한 비정상적인 접속‧다운로드 시도를 관리하는 것에 관하여 여러 유출 사고에서 쟁점이 되고 있고 「개인정보의 기술적․관리적 보호조치 기준 해설서」에서는 비정상적인 접속시도를 탐지 및 차단하고, 개인정보처리시스템에서 과도한 또는 비정상적인 트래픽 발생 시 탐지 및 차단 조치를 해야 한다는 점을 명시하고 있어 계속하여 보호조치의 기대 수준이 높아지고 있습니다.

따라서 앞으로는 비정상적인 접속과 과도한 트래픽을 실시간으로 탐지하고 이상 징후 발견시 자동으로 작업을 중단시키고 경보가 울리게 하는 시스템을 적극 시행 및 개선하고 위험으로 인식하는 접속 횟수와 트래픽 정도의 기준을 현실화하여 개인이 할 수 없는 정도의 과도한 시도를 효과적으로 탐지하는 시스템을 마련할 필요가 있습니다.

[글. 한국개인정보법제연구회 / 블로그 https://blog.naver.com/kadp02 / 페이스북

https://www.facebook.com/kadp02 /이메일 kadp02@naver.com]

※한편 이번 기고 내용은 오는 4월 10일 개최되는 상반기 최대 개인정보보호 컨퍼런스인 G-PRIVACY 2019에서 세션 발표로 실무자들에게 소개될 예정이다.

▶G-PRIVACY 2019 등록: http://conf.dailysecu.com/conference/g-privacy/2019.html

★정보보안 대표 미디어 데일리시큐!★



관련기사