웹사이트 해킹으로 인한 대규모 개인정보 유출 과징금 취소 사건

정보통신서비스 제공업체인 KT가 해킹으로 인해 약 1,170만 건의 고객 개인정보를 유출당했습니다. 이에 개인정보 보호위원회(이전 방송통신위원회)는 KT에 과징금을 부과했으나, KT는 과징금 부과 처분 취소를 요구하며 소송을 제기했습니다. 대법원은 KT가 개인정보 유출을 막기 위해 사회통념상 합리적으로 기대 가능한 기술적 보호 조치를 다했다고 판단하여 과징금 부과 처분을 취소해야 한다는 원심의 판단을 확정했습니다. 이 판결은 정보통신서비스 제공자가 모든 해킹 공격을 원천적으로 막을 수는 없으므로, 알려진 보안 취약점에 대해 당시의 기술 수준에 맞는 합리적인 조치를 취했는지가 중요하다고 보았습니다.

관련 당사자

• 원고, 피상고인: 주식회사 케이티 (통신서비스 제공업체)
• 피고, 상고인: 개인정보 보호위원회 (개인정보 보호 정책 수립 및 감독 기관)

분쟁 상황

2013년 8월 8일부터 2014년 2월 25일까지, 한 해커가 KT의 ○○○○ 홈페이지에 접속하여 자신의 인증 정보로 로그인한 후, 웹 브라우저의 요청 메시지를 가로채 해커 본인의 서비스계약번호를 임의의 다른 9자리 숫자로 변조하여 전송하는 방식(파라미터 변조)으로 개인정보를 탈취했습니다. 이 해킹으로 인해 총 11,708,875건의 고객 이름, 주민등록번호, 주소, 서비스 가입 정보 등이 유출되었습니다. 이에 개인정보 보호위원회(당시 방송통신위원회)는 KT가 개인정보 보호를 위한 기술적, 관리적 조치를 소홀히 했다고 보아 과징금을 부과했고, KT는 이 과징금 처분이 부당하다며 소송을 제기했습니다.

핵심 쟁점

이 사건의 주요 쟁점은 다음과 같습니다.

1. 개인정보 보호 기준 고시에서 정하는 '개인정보처리시스템'에 웹 서버가 포함되는지 여부와 파라미터 변조와 같은 해킹을 통한 개인정보 유출 방지를 직접적으로 규율하는지 여부.
2. KT가 구 「개인정보의 기술적ㆍ관리적 보호조치 기준」 제4조 제9항에 따른 보호 조치 의무를 다했는지 여부.
3. 개인정보 유출 사고 발생 시 과징금 산정에 있어 재량권 일탈 및 남용이 있었는지 여부.

법원의 판단

대법원은 원심의 판단을 수긍하며 피고 개인정보 보호위원회의 상고를 기각하고, 상고비용은 피고가 부담하도록 판결했습니다. 이는 KT가 개인정보 유출과 관련하여 법이 요구하는 기술적 보호 조치 의무를 위반하지 않았다고 본 것입니다.

결론

결과적으로 KT에 부과된 과징금 부과 처분은 취소되었으며, KT는 이 사건 해킹 사고로 인한 과징금 부담에서 벗어나게 되었습니다. 법원은 정보통신서비스 제공자의 개인정보 보호 의무를 평가할 때 모든 종류의 해킹을 원천적으로 막을 것을 요구하기보다는, 당시의 기술 수준과 사회통념상 합리적으로 기대할 수 있는 수준의 보호 조치를 다했는지를 종합적으로 판단해야 한다고 보았습니다.

연관 법령 및 법리

이 사건은 구 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(구 정보통신망법) 제28조 제1항 제2호와 그 위임에 따른 구 「개인정보의 기술적ㆍ관리적 보호조치 기준」(이 사건 고시) 제4조 제9항의 적용 및 해석에 관한 내용입니다.

• 구 정보통신망법 제28조 제1항 제2호: 정보통신서비스 제공자가 개인정보의 분실, 도난, 누출 등을 방지하기 위해 대통령령으로 정하는 기준에 따라 기술적, 관리적 조치를 해야 한다고 규정합니다.
• 구 정보통신망법 시행령 제15조 제6항: 위 법률의 위임에 따라 방송통신위원회(현재 개인정보 보호위원회)가 보호 조치의 구체적인 기준을 정하여 고시하도록 했습니다.
• 이 사건 고시 제4조 제9항: 정보통신서비스 제공자는 개인정보가 열람 권한이 없는 자에게 공개되거나 유출되지 않도록 '개인정보처리시스템' 및 개인정보취급자의 컴퓨터에 조치를 취해야 한다고 규정합니다.

법원의 해석:

• 개인정보처리시스템의 범위: 법원은 이 사건 고시 제4조 제9항의 '개인정보처리시스템'이 개인정보의 생성, 기록, 저장, 검색, 이용 과정 등 데이터베이스 시스템(DBS) 전체를 의미하며, 데이터베이스(DB)와 연동되어 개인정보 처리 과정에 관여하는 웹 서버 등도 포함된다고 보았습니다. 이는 웹 서버도 개인정보 유출 방지 조치의 대상이 됨을 명확히 한 것입니다.
• 보호 조치 의무의 해석: 법원은 이 사건 고시 제4조 제9항에서 규정한 보호 조치는 '정보통신서비스 제공자가 취급 중인 개인정보가 해킹 등 침해 사고에 의해 유출되지 않도록 개인정보처리시스템과 개인정보취급자의 컴퓨터에 취해야 할 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호 조치'로 해석했습니다. 이는 단순히 결과론적으로 유출이 발생했다는 사실만으로 의무 위반을 단정할 것이 아니라, 해킹 당시의 기술 수준, 정보통신서비스 제공자의 규모, 적용된 보안 대책, 경제적 비용 등을 종합적으로 고려하여 판단해야 한다는 법리를 제시한 것입니다.

참고 사항

유사한 개인정보 유출 상황을 대비하거나 겪었을 때 다음과 같은 점들을 참고할 수 있습니다.

• 적극적인 보안 점검: 웹 취약점 점검 자동화 도구 도입, 주기적인 모의 해킹 수행, 침입 방지 시스템 운영 등 당시의 기술 수준에 맞는 보안 조치를 꾸준히 이행해야 합니다.
• 기술 수준에 대한 입증: 해킹 발생 당시 보편적으로 알려진 정보보안 기술 수준을 충족하기 위한 노력을 구체적인 증거로 남기는 것이 중요합니다.
• 합리적 기대 가능성: 모든 해킹을 완벽하게 막는 것은 현실적으로 어렵다는 점을 법원도 인지하고 있으므로, '사회통념상 합리적으로 기대 가능한 정도'의 보호 조치를 했음을 입증하는 것이 중요합니다.
• 예외 상황 고려: 소프트웨어 개발 시 파라미터 변조와 같은 예외적이고 예측하기 어려운 해킹 시나리오에 대해서도 최소한의 방어책을 마련하고 지속적으로 개선해야 합니다.
• 사후 조치 기록: 해킹 사고 인지 후 취약점 제거를 위한 신속한 사후 시정 조치를 했다는 사실을 명확히 기록하고 이를 통해 과거의 보안 노력과 연결 지어 설명할 수 있어야 합니다.