최해커씨는 2012년 자신이 개발한 해킹프로그램을 이용하여 인증서버를 우회하는 방식으로 A통신사의 고객정보 데이터베이스에 침입해 고객정보를 취득·유출했습니다. 이 사건으로 개인정보가 유출된 피해자들은 A통신사를 상대로 이 정보유출사고로 인해 개인정보통제에 관한 인격권이 침해되었다고 주장하면서, 위자료를 청구하는 소송을 제기하였습니다. 그리고 소송과정에서 A통신사는 별도의 인증서버를 두는 대신 데이터베이스 서버 자체에는 인증절차를 두지 않았다는 사실 등이 밝혀졌습니다. 과연 A통신사는 개인정보 유출에 대한 책임이 있을까요?
- 주장 1
아롱이: 2012년 당시 상황으로 봤을 때는 별도의 인증서버를 둔 A통신사의 시스템 자체가 불완전하다고 할 수 없고, 인증서버의 접근기록을 확인·감독했으므로 개인정보 처리 내역 등에 관한 확인·감독을 게을리 하지도 않았어. 따라서 A통신사에게는 책임이 없어.
- 주장 2
다롱이: 그래도, 데이터베이스서버 자체에는 인증절차를 두지 않았으므로 A통신사의 시스템은 불완전한 거고, 인증서버의 접근기록만을 확인·감독한 것은 개인정보 처리에 관한 확인·감독을 게을리 한 것이지. 따라서 A통신사는 개인정보 유출에 대해 책임이 있어.
정답 및 해설
아롱이: 2012년 당시 상황으로 봤을 때는 별도의 인증서버를 둔 A통신사의 시스템 자체가 불완전하다고 할 수 없고, 인증서버의 접근기록을 확인·감독했으므로 개인정보 처리 내역 등에 관한 확인·감독을 게을리 하지도 않았어. 따라서 A통신사에게는 책임이 없어.
A통신사는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 필요한 기술적·관리적 조치를 취하여야 할 법률상 의무가 있습니다(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제28조제1항). 법원은 A통신사가 위와 같은 법률상 의무를 위반하였는지는 해킹 등 침해사고 당시 일반적으로 알려져 있는 정보보안기술 수준, 정보통신서비스 제공자의 업종과 영업 규모, 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안조치에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술 수준과 정보보안기술 발전 정도에 따른 피해 발생 회피 가능성, A통신사가 수집한 개인정보의 내용과 개인정보 누출로 인하여 이용자가 입게 되는 피해 정도 등의 사정을 고려하여, A통신사가 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 등을 종합하여 판단해야 합니다. 이에 따라 별도의 인증서버를 둔 A통신사의 접근통제시스템 자체가 불안전하다거나 개인정보 등 송수신시 암호화의무를 위반하였다고 볼 수 없고, (적어도 국내에서는 인증서버 우회방식의 해킹이 성공한 적이 없는 상황에서) A가 인증서버에 저장된 접속기록을 확인·감독한 이상 개인정보처리시스템의 개인정보 처리 내역 등에 관한 확인·감독을 게을리했다고 할 수 없다고 판단하였습니다(대법원 2018. 12. 28. 선고 2017다207994 판결). 이 판결은 정보통신서비스 제공자가 개인정보보호를 위한 법률상 또는 계약상 의무를 위반하였는지를 판단할 때에는, 해킹으로 인한 침해사고의 경우 당시 일반적으로 알려져 있는 정보보안 기술 수준, 정보통신서비스 제공자가취하고 있던 전체적인 보안조치의 내용, 해킹기술 수준과 정보보안기술 발전 정도에 따른 피해 발생 회피 가능성 등을 종합적으로 고려하여야 한다는 것을 다시 한 번 확인한 판결이라 할 수 있습니다.
