통신사의 대량 고객정보 유출 과징금 부과 처분 취소 판결

원고인 통신사업자 주식회사 ○○○는 마이올레 및 올레클럽 홈페이지에서 발생한 해킹 사고로 인해 총 1,170만여 건의 개인정보가 유출되는 피해를 입었습니다. 이에 피고인 방송통신위원회는 원고가 구 정보통신망법 및 관련 고시에서 정한 개인정보 보호조치를 위반했다고 판단하여 과징금 7,000만 원을 부과하는 처분을 내렸습니다. 원고는 해당 법규를 준수했음을 주장하며 과징금 부과 처분 취소를 구하였고, 피고는 원고의 보호조치 미흡으로 법규를 위반했다고 맞섰습니다.

관련 당사자

• 원고: 주식회사 ○○○ (전기통신사업자이자 정보통신서비스 제공자로, 해킹으로 인해 고객 개인정보가 대량 유출된 회사)
• 피고: 방송통신위원회 (정보통신망법에 따라 개인정보 보호조치 위반을 이유로 원고에게 과징금을 부과한 행정기관)
• 해커 김●● 외 1인: (마이올레 및 올레클럽 홈페이지에 불법 침입하여 대량의 개인정보를 유출시킨 범죄자들)

분쟁 상황

원고는 전기통신사업자로서 고객이 요금명세서를 조회할 수 있는 마이올레 홈페이지와 올레클럽 포인트 조회 등을 할 수 있는 올레클럽 홈페이지를 운영하고 있었습니다. 2013년 8월 8일부터 2014년 2월 25일까지 해커 김●●은 마이올레 홈페이지에 불법적으로 접근하여 자신의 서비스계약번호를 다른 사람의 임의의 9자리 숫자로 변조하는 방식으로 총 11,708,875건(이용자수 기준 9,818,074명)의 개인정보를 유출했습니다. 또한 다른 해커는 올레클럽 홈페이지의 DB 서버에 약 2,753회 접속하여 83,246건의 개인정보를 유출했습니다. 이는 상담사 PC에 설치된 네트워크 모니터링 도구를 통해 올레클럽 포인트 조회 URL을 획득한 뒤 외부 인터넷망을 통해 접속하여 발생한 것으로 추정됩니다. 이에 방송통신위원회는 원고가 구 정보통신망법 제28조 제1항 제2호 및 그 시행령 제15조, 구 「개인정보의 기술적·관리적 보호조치 기준」(이 사건 고시) 제4조 제2항, 제5항, 제9항을 위반했다고 보고, 구 정보통신망법 제64조의3 제1항 제6호에 따라 과징금 7,000만 원을 부과했습니다. 원고는 이 처분이 부당하다고 주장하며 취소 소송을 제기했습니다.

핵심 쟁점

이 사건의 주요 쟁점은 다음과 같습니다. 첫째, 원고가 퇴직자의 개인정보처리시스템 접근권한을 지체 없이 말소해야 하는 의무(구 개인정보의 기술적·관리적 보호조치 기준 제4조 제2항)를 위반했는지 여부입니다. 둘째, 원고가 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위한 시스템을 제대로 설치·운영해야 하는 의무(같은 기준 제4조 제5항)를 위반했는지 여부입니다. 셋째, 원고가 인터넷 홈페이지 등을 통해 열람 권한이 없는 자에게 개인정보가 공개되거나 유출되지 않도록 조치를 취해야 하는 의무(같은 기준 제4조 제9항)를 위반했는지 여부입니다. 이 쟁점들은 관련 법령, 특히 구 개인정보의 기술적·관리적 보호조치 기준의 각 조항과 '개인정보처리시스템'의 범위, '시스템 운영'의 의미 등 법규 해석을 둘러싼 다툼이었습니다.

법원의 판단

재판부는 원고 주식회사 ○○○에 대한 방송통신위원회의 과징금 7,000만 원 부과 처분을 취소했습니다. 구체적인 판단 내용은 다음과 같습니다.

1. 구 개인정보의 기술적·관리적 보호조치 기준 제4조 제2항(퇴직자 접근권한 말소 의무) 위반 여부: 긍정 재판부는 퇴직자의 계정을 '사용 중지'한 것만으로는 '접근권한 말소'에 해당하지 않는다고 보았습니다. '접근권한 말소'는 퇴직자의 계정으로는 개인정보처리시스템에 어떤 접근도 불가능하도록 전면적으로 폐기하는 것을 의미하며, 해커가 퇴직자 ID 변환 값을 포함한 URL을 통해 개인정보에 접근했으므로 원고가 이 조항을 위반했다고 판단했습니다.
2. 구 개인정보의 기술적·관리적 보호조치 기준 제4조 제5항(시스템 설치·운영 의무) 위반 여부: 부정 재판부는 이 조항의 '시스템 설치'는 상용화되고 인증된 침입차단 및 침입탐지 설비를 설치하는 것으로 충분하며, '시스템 운영'에 웹 서버 접속 로그 기록을 실시간 또는 상시적으로 분석할 의무가 포함된다고 보기 어렵다고 해석했습니다. 원고는 침입방지시스템(IPS), 방화벽, 웹쉘탐지시스템 등을 설치하고 모의 해킹을 수행하는 등 적절한 조치를 취했다고 보아, 파라미터 변조 방지나 대량 조회 탐지 의무 위반으로 볼 수 없다고 판단했습니다.
3. 구 개인정보의 기술적·관리적 보호조치 기준 제4조 제9항(개인정보 유출 방지 의무) 위반 여부: 부정 재판부는 이 조항에서 '개인정보처리시스템'은 데이터베이스관리시스템(DBMS)만을 의미하며 웹 서버는 포함되지 않는다고 보았습니다. 또한 이 규정은 주로 내부적 요인(개인정보취급자의 부주의, 홈페이지 개발 시 간과된 취약점 등)으로 인한 개인정보 노출 방지를 위한 것이며, 해킹과 같은 외부 공격으로 인한 정보 유출을 직접적으로 규율하는 것으로 보기 어렵다고 판단했습니다. 원고는 웹 취약점 점검 및 모의 해킹 등 현실적으로 취할 수 있는 조치를 다했다고 보았습니다. 결론적으로 원고가 제4조 제2항을 위반했음에도 불구하고, 피고가 제4조 제5항과 제9항 위반을 전제로 과징금을 부과한 것은 재량권을 일탈·남용한 것으로 위법하다고 보아 원고의 청구를 인용했습니다.

결론

피고 방송통신위원회가 원고 주식회사 ○○○에 대해 2014년 6월 26일 자로 내린 과징금 7,000만 원 부과 처분을 취소하며, 소송비용은 피고가 부담하도록 했습니다.

연관 법령 및 법리

이 사건과 관련된 주요 법령과 법리 해설은 다음과 같습니다.

1. 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제28조 제1항 (개인정보의 보호조치)​ 이 조항은 정보통신서비스 제공자 등이 개인정보의 분실, 도난, 누출, 변조, 훼손을 방지하기 위해 대통령령으로 정하는 기준에 따라 기술적·관리적 조치를 해야 한다고 규정합니다. 여기에는 침입차단시스템 등 접근 통제장치 설치·운영, 개인정보 취급자 최소화 등 기본적인 보호조치 의무가 포함됩니다.
2. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조 (개인정보의 보호조치)​ 이 시행령은 법 제28조 제1항에 따른 보호조치의 구체적인 기준을 명시합니다. 특히 개인정보처리시스템에 대한 접근권한 부여·변경·말소 기준 수립·시행, 침입차단시스템 및 침입탐지시스템 설치·운영 등을 의무화하고 있습니다.
3. 구 개인정보의 기술적·관리적 보호조치 기준 (이하 '이 사건 고시')​
   • 제4조 제2항 (접근통제 - 퇴직자 계정 관리)​: 개인정보취급자가 변경(전보 또는 퇴직)되었을 경우, 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소해야 한다고 규정합니다. 법원은 이 조항의 '접근권한 말소'를 단순히 계정의 '사용 중지'를 넘어 개인정보처리시스템에 어떠한 접근도 가능하지 않도록 계정을 전면적으로 폐기하는 것을 의미한다고 엄격하게 해석했습니다.
   • 제4조 제5항 (접근통제 - 시스템 설치·운영)​: 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 침입차단 및 침입탐지 기능을 포함한 시스템을 설치·운영해야 한다고 규정합니다. 법원은 이 조항의 '시스템 운영'에 웹 서버 접속 로그 기록을 실시간으로 분석하거나 사후에 상시적으로 분석할 의무는 포함되지 않는다고 해석했습니다. 이는 법규 문언에 명시되지 않은 의무를 확장 해석하지 않는다는 '침익적 행정처분의 엄격 해석 원칙'에 따른 것입니다.
   • 제4조 제9항 (접근통제 - 개인정보 유출 방지)​: 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유 설정 등을 통해 열람 권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터에 조치를 취해야 한다고 명시합니다. 법원은 이 조항에서 '개인정보처리시스템'을 데이터베이스관리시스템(DBMS)으로 한정하고 웹 서버 등은 포함되지 않는다고 해석했습니다. 또한 이 규정은 주로 내부적 요인(개인정보취급자의 부주의, 홈페이지 개발 시 간과된 취약점 등)으로 인한 개인정보 노출 방지를 목적으로 하며, 파라미터 변조와 같은 해킹을 직접적으로 규율하는 규정으로 보기는 어렵다고 판단했습니다.
4. 침익적 행정처분의 엄격 해석 원칙: 국민의 권리를 제한하거나 의무를 부과하는 행정처분의 근거 법규는 엄격하게 해석·적용되어야 하며, 처분 상대방에게 불리한 방향으로 지나치게 확장하거나 유추 해석해서는 안 된다는 법리입니다. 이 판결에서 법원은 이 원칙에 따라 방송통신위원회의 일부 주장을 받아들이지 않았습니다.
5. 정보통신서비스 제공자의 보호조치 의무 판단 기준: 정보통신서비스 제공자가 법률상 의무를 위반했는지 여부를 판단할 때는 해킹 당시 보편적으로 알려진 정보보안 기술 수준, 제공자의 업종 및 규모, 전체적인 보안 조치의 내용, 경제적 비용 및 효용, 해킹 기술 수준과 보안 기술 발전 정도, 수집 개인정보의 내용과 피해 정도 등을 종합적으로 고려하여 '사회통념상 합리적으로 기대 가능한 정도'의 보호조치를 다했는지 여부를 기준으로 판단해야 한다는 법리입니다.

참고 사항

유사한 상황에 처했을 때 다음 사항들을 참고할 수 있습니다.

1. 퇴직자 계정 관리의 중요성: 퇴직자 계정은 단순히 '사용 중지'를 넘어 개인정보처리시스템에 어떠한 방식으로도 접근할 수 없도록 '접근권한을 전면적으로 말소'해야 합니다. 내부 지침에 퇴직 시 계정 삭제 및 공용 계정 비밀번호 변경 절차를 명확히 포함하고 철저히 이행해야 합니다.
2. 법령 해석의 엄격함: 행정처분의 근거가 되는 법규는 문언의 통상적인 의미를 벗어나 지나치게 확장 해석되지 않는다는 점을 유념해야 합니다. 새로운 해킹 수법이나 모호한 '이상행위'에 대한 탐지 의무는 법규에 명확히 규정되어 있지 않다면 법원이 의무 위반으로 보지 않을 수 있습니다. 따라서 법규의 명확한 문구를 기준으로 보호조치를 이행하고 관련 고시나 해설서의 개정 여부를 주기적으로 확인해야 합니다.
3. 개인정보처리시스템의 범위: 판결에서 '개인정보처리시스템'을 데이터베이스관리시스템(DBMS)으로 한정하고 웹 서버를 포함하지 않는다고 본 점에 주목해야 합니다. 현재의 법규 또는 고시가 어떻게 정의하고 있는지 정확히 확인하고, 웹 서버 등 다른 시스템에 대해서도 충분한 보안 조치를 취해야 합니다.
4. 다각적인 보안 조치 이행: 파라미터 변조와 같이 예측하기 어렵거나 광범위한 취약점에 대해서는 침입방지시스템(IPS), 웹방화벽 등 물리적 시스템 설치 외에도 자동화된 취약점 점검 도구 도입, 주기적인 모의 해킹 수행, 개발 단계부터 보안 기준 준수 등 다각적인 노력을 기울여야 합니다. 이러한 조치들은 문제가 발생했을 때 기업이 사회통념상 합리적으로 기대 가능한 보호조치를 다했음을 입증하는 근거가 될 수 있습니다.
5. 처분 사유의 적법성 확인: 행정기관의 과징금 부과 처분은 모든 위반 사유가 법적으로 타당해야 합니다. 일부 위반 사유가 인정되지 않는다면 전체 처분이 재량권 일탈·남용으로 취소될 수 있으므로, 처분 사유 하나하나의 법적 근거와 타당성을 면밀히 검토해야 합니다.