[한국사회를 변화시킨 9대 개인정보 유출사고 판례 분석⑤] 수탁회사 직원에 의한 카드 3사 고객 정보 유출 사건

기존 접속기록 내역을 저장할 의무 외에도 접속기록 반기별 점검 의무 신설돼

2019-04-30     길민권 기자

credit-card-1591492_640.jpg
한국개인정보법제연구회의 도움으로 한국사회를 변화시킨 9건의 개인정보 유출 사고와 해당 판례를 분석한 기고문을 게재합니다. 대량 개인정보 유출 사건을 중심으로 살펴보고 이 사건들이 우리나라 개인정보보호법에 어떤 영향을 미쳤는지 그리고 기업들은 어떤 부분을 주의해야 하는지 독자들과 공유하고 실무에 도움이 되는 시간이 되길 바랍니다. 의미있는 자료를 데일리시큐에 기고해 주신 한국개인정보법제연구회에 깊은 감사의 말씀을 전합니다. -편집자주-

◇대상 판결

1. G 카드에 대한 대법원 판결

- 대법원 2018. 12. 13. 선고 2018다219994, 2018다220000(병합) 판결

2. 3개 카드사에 대한 판결

서울중앙지방법원 2018. 5. 15. 선고 2017가단58305 손해배상(기)

1. 개인정보 유출 사고의 발생

가. 사건의 개요

M카드, G카드, R카드사는 각 K사에 카드사고분석시스템 업그레이드를 위탁하고 K사의 시스템 개발 업무를 위해 변형되지 않은 고객정보를 제공하였습니다.

K사의 직원인 갑은 2010년부터 2013년 사이에 각 카드사에 파견되어 근무하면서 카드사고분석시스템을 개발하던 중 일부 컴퓨터에서 USB 쓰기 기능이 가능한 점을 발견하였고 업무용 외장하드에 관해 카드사가 감독하지 않고 있는 점을 이용하여 임의로 반입한 자신의 USB 또는 외장하드에 고객정보를 저장하여 유출하였습니다. 갑은 유출한 개인정보를 대출중개업 등을 하는 을에게 제공하였고, 을은 이를 다른 사람에게 판매하였습니다.

k-1-1.jpg
나. M 카드 고객 정보 유출

갑은 M사에서 파견 근무를 하던 중 컴퓨터에 다른 운영체제를 설치하는 경우 보안 프로그램이 설치되지 않는 점을 알아내어 개인정보가 저장된 컴퓨터에서 FTP 또는 터미널 접속 프로그램을 통해 USB 방지 프로그램이 설치되지 않은 컴퓨터에 전송하여 USB에 저장하여 반출하였습니다(1차). 또한 디스크 증설 요청 이후 일부 컴퓨터에 USB 쓰기 방지 기능이 포함된 보안 프로그램이 설치되지 않은 점을 이용하여 USB에 개인정보를 저장하여 반출하였습니다(2차).

다. G 카드 고객 정보 유출

갑은 G 카드사에서 파견 근무를 하던 중 같은 팀의 팀원으로부터 자기 컴퓨터에서 자료를 다운로드하여 USB에 저장하는 것이 가능하다는 말을 듣고, 해당 업무용 컴퓨터에 USB를 접속하여 개인정보를 저장하여 이를 반출하였습니다(1차). 또한 전산 센터에서도 USB 쓰기가 가능하다는 점을 알게 된 후 같은 방법으로 개인정보를 유출하였습니다(2차).

라. R 카드 고객 정보 유출

갑은 R 카드사에서 파견 근무를 하던 중 업무용 하드디스크에 R 카드 고객 정보를 저장하여 정상적으로 사용한 다음 R 카드사로부터 하드디스크 포맷 보안 검사를 받지 않고 몰래 숨겨서 가지고 나왔습니다(1차). 한편 K사의 개발팀은 R 카드 사무실에 업무용 컴퓨터를 반입하였는데 그 중 1대에는 업무상 편의를 위해 USB 쓰기 방지 보안 프로그램을 설치하지 않았습니다. 갑은 내부 네트워크를 통해 정상적인 컴퓨터에 저장되어 있던 고객 정보를 복사하여 USB 쓰기가 가능한 컴퓨터의 USB 공유 폴더에 저장한 후 이를 반출하였습니다(2차).

2. 관련 소송의 경과

가. 형사 사건 : 징역형 선고

개인 정보를 유출한 갑은 정보통신망법 위반으로 1심에서 징역 3년을 선고받았고 항소심에서 판결이 확정되었습니다.

나. 민사 사건 : 원고들 승소 취지 대법원 판결 선고

최근 G카드와 K사(수탁사)를 피고로 한 소송에서 대법원이 원고 승소 판결을 선고하였습니다. 대법원 판결은 G카드가 보호조치를 다하지 않았다고 보고 K사에 대해 직원의 유출 행위에 대한 사용자 책임을 부담한다고 본 다음 항소심이 10만원의 손해배상을 인정한 부분이 판결의 재량권을 일탈하지 않아 적법하다고 판시하였습니다. 다른 카드사들에 대한 소송 사건들은 현재 대법원에 계류 중입니다.

3. 사건의 쟁점

이 사건은 각 카드사가 적절한 보호조지를 하였는지, K사가 직원인 갑의 유출행위에 사용자책임을 부담하는지 여부가 쟁점이 되었습니다.

k-2-1.jpg
4. 판결 요지

가. 대법원 판결

대법원은 G사 유출 사고에 관한 손해배상소송에서 G사가 보안프로그램 설치 및 관리 ‧ 감독의무, 암호화된 카드고객정보 제공의무, 접근권한 제한 등 보안조치를 취할 의무, 개인정보 처리업무 위탁 시 기술적 ‧ 관리적 보호조치에 관한 문서약정의무, 단말기에 이용자 정보를 보관 ‧ 공유하지 않을 의무를 다하지 않았다고 보았습니다.

또한 K사는 피용자인 소외 갑이 사무집행에 관하여 카드고객정보를 유출함으로써 원고들에게 손해를 가하였고 피고 K사는 소외 갑에 대한 지휘 ‧ 감독을 다하지 않았으므로 G카드와 공동하여 원고들에게 손해를 배상할 책임이 있다고 판시하였습니다.

손해배상 금액에 관하여는, 항소심 재판부가 10만원으로 판결한 것은 재량의 한계를 일탈하지 않아 타당하다고 판시하였습니다.

나. 1 ‧ 2심 판결의 경향

이 사건과 관련하여 각 1심과 2심 판결들은 일관되게 M카드와 G카드의 각 유출 사고에 관하여 카드사의 주의의무 위반과 K사의 사용자책임을 인정하고 있습니다.

다만 R카드사 1차 유출 사고는 소외 갑이 K사가 아닌 전 직장에 근무 중 발생한 것이므로 1차 유출 사고에 관하여는 카드사의 책임만이 인정되고 K사의 책임은 인정되지 않았습니다. R카드 2차 유출 사고의 경우 R카드와 K사의 주의의무 위반과 사용자책임이 인정되었으나 유출 직후 수사기관에 회수되 원고들에게 손해가 발생하지 않았다고 보아 손해배상 책임은 인정되지 않았습니다.

손해배상의 금액은 통상적으로 10만원이 인정되는 경향을 보이고 있으나 서울고등법원에서 R 카드사에 대해 1심에서 인정한 10만원을 7만원으로 감액한 판결이 있고, 청주지방법원에서 카드사들의 손해배상 금액을 50만원 선고한 판결이 있습니다. 위 두 사건은 현재 각 상고심, 항소심에 계류 중입니다.

다. 쟁점별 판시 사항

1) 보안 프로그램 설치 및 운영

법원은 구 개인정보의 안전성 확보조치 기준 제9조에 의하여 개인정보 처리자가 운영할 의무가 있는 보안 프로그램에는 특별한 사정이 없으면 USB 메모리의 쓰기 기능 사용을 제한하는 기능을 갖추고 있어야 하고, 그러한 기능의 작동 여부를 관리‧감독하는 조치를 하여야 한다고 보았습니다.

각 판결들이 설시하고 있는 카드사의 의무를 살펴보면, 위탁사는 수탁사에게 보안프로그램을 설치하라고 지시하는 것을 넘어 설치 및 유지를 직접 확인해야 하고, 수탁사가 반입하는 컴퓨터의 존재 및 보안 프로그램 설치와 유지 여부를 확인해야 하며, 외장 하드디스크를 사용하는 것이 반드시 필요한지와 다른 대처 방법은 없는지 신중히 검토하는 한편 외장 하드디스크에 보안 스티커를 부착하거나 외부 반출 여부를 수시로 확인하는 등의 정보 유출 방지 대책을 세워야 하고(M카드 사안 관련), 수탁사가 반입한 컴퓨터에 보안 프로그램이 설치되었는지 직접 확인하고 수탁사 작업 공간에 대해 정기 또는 수시로 보안 점검을 할 의무가 있다고 보고 있습니다(G카드 및 R카드 사안 관련).

2) 개인정보 제공시 암호화

구 개인정보의 안전성 확보조치 기준 제7조 제2항에 의하면 개인정보 처리자는 제1항에 따른 개인정보를 정보통신망을 통하여 송‧수신하거나 보조 저장 매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 하고, 제8항에 의하면 업무용 컴퓨터에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 합니다.

재판부는 이 사건 카드 회사들은 고유식별정보가 포함된 카드 고객 정보를 암호화 등으로 변형되지 않은 형태로 하드디스크 등 보조 저장 매체에 저장한 후 제공하여 프로그램 개발에 사용하도록 하였으므로 암호화 조치를 소홀히 하였다고 보았습니다.

3) 접근 통제

구 개인정보의 안전성 확보조치 기준 제6조 제3항은 개인정보 처리자가 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람 권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보 처리 시스템 및 업무용 컴퓨터에 조치를 취하여야 한다고 규정하고 있습니다.

이 사건 판결은 카드사들이 K사 직원들이 개인정보를 공유 폴더를 통하여 공유하거나 외장 하드를 교환하는 것을 통제하였어야 했고, 개인정보에 관한 접근을 제한하였어야 했다고 보았습니다.

4) 개인정보 처리 위탁시 관리 ‧ 감독

이 사건 판결은, 카드사들이 개인정보의 기술적‧관리적 보호 조치에 관한 사항에 관하여 문서에 의하여 구체적으로 정한 것으로 보이지 않고 K사의 보안 프로그램 설치 및 저장 매체 포맷 및 반출에 대해 관리‧감독을 소홀히 하였다고 보았습니다.

5. 이 사건 판결의 의의

가. 기업의 손해배상 책임 및 벌금 인정

이 사건은 본 판결 분석 시리즈에서 다루는 1천만건 이상의 대규모 유출 사건 중 대법원 판결로서 손해배상 의무가 인정된 최초의 판결입니다. 형사 사건에서는 각 카드사에게 벌금형이 선고되기도 하였습니다.

나. 유통되지 않은 경우 손해배상이 제한되는 판결의 경향을 유지

1심과 2심 판결들은 R카드사의 2차 유출에 관하여는 손해배상을 인정하지 않았는데 이는 2008년 B사 수탁사 직원의 유출 사고에 관한 대법원 판결에서 개인정보가 유출되었으나 유통되지 않아 손해배상을 인정하지 않은 점의 연장선상에 있는 것으로 볼 수 있습니다.

다. 개인정보보호법 적용

기존 대규모 유출 사건들에 관한 재판은 정보통신망법이 적용되었으나 이 사건 재판은 개인정보보호법이 적용된 사건입니다.

6. 개인정보 처리자에 대한 시사점

가. 개인정보 위탁시 수탁자 관리・감독 강화

이 사건 이후 2014년에 개정된 개인정보의 안전성 확보조치 기준에는 내부관리계획단계에 개인정보 처리 수탁자에 대한 관리・감독 사항 추가(제3조)되어 위탁자의 의무가 더욱 강화되었으므로 예방에 각별한 주의가 필요합니다.

나. 접속기록 반기별 점검 의무

이 사건에서 소외 갑은 오랜 기간에 걸쳐 카드사의 개인정보를 유출하였습니다. 이 사건 이후 2014년에 개정된 개인정보의 안전성 확보조치 기준에는 기존의 접속기록 내역을 저장할 의무 외에도 접속기록 반기별 점검 의무가 신설되었습니다(제7조).

다. 개인정보 저장 및 제공시 암호화

이 사건의 경우 개인정보를 저장과 제공시 암호화 조치가 문제되었는데 내부망에 개인정보를 저장시 암호화, 고유식별정보 암호화, 개인정보를 보조저장매체 등을 통해 제공시 암호화하도록 하는 규정을 유의하여 개인정보 저장과 제공시 암호화 조치에 만전을 기하여야 할 것입니다.

라. 저장매체 반・출입 통제

이 사건을 계기로 USB와 외장하드 등 저장 매체에 대한 보안조치와 반입・반출 통제의 필요성이 제기되었습니다. 이 사건 이후 2014년에 개정된 개인정보의 안전성 확보조치 기준에는 개인정보가 포함된 보조저장매체 반출・입 통제 규정이 신설되었습니다(9조).

마. 손해배상 금액에 관해

이 사건 판결들은 손해배상 액수를 약 10만원 정도 선에서 인정하고 있습니다. 그러나 이 사건 이후 2016. 9. 30. 법정손해배상 규정이 도입되어 이제는 손해배상 액수가 300만원까지 인정될 가능성이 있고 최근 소송의 보면 원고들의 손해배상 액수의 청구 금액이 법정 손해배상 기준을 의식하여 과거에 비해 높아지는 경향을 보이고 있습니다.

[글. 한국개인정보법제연구회 / 블로그 https://blog.naver.com/kadp02 /

페이스북 https://www.facebook.com/kadp02/이메일 kadp02@naver.com]


[의료기관 컨퍼런스 안내]
국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2019
-MPIS 2019 사전등록:
http://conf.dailysecu.com/conference/mpis/2019.html
-참가문의
: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

★정보보안 대표 미디어 데일리시큐!★