[서울고등법원 2015. 3. 20. 선고 2013나20037 판결]
1. 관련 법령
당시 정보통신망법(시행 2011.7.6. 법률 제10560호, 2011.4.5. 일부개정)
제28조(개인정보의 보호조치) ① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라다음 각 호의 기술적·관리적 조치를 하여야 한다.
1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영
3. 접속기록의 위조·변조 방지를 위한 조치
4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치
5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
현행 정보통신망법 시행령(2015. 5. 현재 시행)
제15조(개인정보의 보호조치) ① 법 제28조제1항제1호에 따라 정보통신서비스 제공자등은개인정보의 안전한 취급을 위하여 다음 각 호의 내용을 포함하는 내부관리계획을 수립ㆍ시행하여야 한다.
1. 개인정보 관리책임자의 지정 등 개인정보보호 조직의 구성ㆍ운영에 관한 사항
2. 개인정보취급자의 교육에 관한 사항
3. 제2항부터 제5항까지의 규정에 따른 보호조치를 이행하기 위하여 필요한 세부 사항
② 법 제28조제1항제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다. 다만, 제3호의 조치는 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다. <개정 2012.8.17>
1. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 "개인정보처리시스템"이라 한다)에 대한 접근권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행
2. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영
3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단
4. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영
5. 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치
③ 법 제28조제1항제3호에 따라 정보통신서비스 제공자등은 접속기록의 위조ㆍ변조 방지를위하여 다음 각 호의 조치를 하여야 한다.
1. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인ㆍ감독
2. 개인정보처리시스템에 대한 접속기록을 별도 저장장치에 백업 보관
④ 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장ㆍ전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다. <개정 2014.11.28>
1. 비밀번호의 일방향 암호화 저장
2. 주민등록번호, 계좌정보 및 바이오정보(지문, 홍채, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보를 말한다) 등 방송통신위원회가 정하여 고시하는 정보의 암호화 저장
3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신ㆍ수신하는 경우 보안서버구축 등의 조치
4. 그 밖에 암호화 기술을 이용한 보안조치
⑤ 법 제28조제1항제5호에 따라 정보통신서비스 제공자등은 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 백신소프트웨어를 설치하여야 하며, 이를 주기적으로 갱신ㆍ점검하여야 한다.
⑥ 방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조제1항제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.
2. 다른 사건에서의 대법원 판결
대법원은 “정보통신서비스가 ‘개방성’을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스 제공자가 구축한 네트워크나 시스템 및 그 운영체제 등은 불가피하게 내재적인 취약점을내포하고 있어서 이른바 ‘해커’ 등의 불법적인 침입행위에 노출될 수 밖에 없고, 완벽한 보안을갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 아니한 점, 해커 등은 여러 공격기법을 통해 정보통신 서비스 제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스 제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적인 점 등의 특수한 사정이 있으므로, 정보통신서비스 제공자가 구 정보통신망법 제28조 제1항이나 정보통신서비스이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는 해킹 등 침해사고 당시 보편적으로 알려져있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종.영업규모와 정보통 신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발 생의 회피가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누 출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보 통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야한다”고 그 원칙적 판단기준을 제시하였습니다.
또한, 대법원은 “구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2012. 8. 17. 대통령령 제24047호로 개정되기 전의 것, 이하 ‘구 정보통신망법시행령’이라 한다) 제15조는구 정보통신망법 제28조 제1항 각호에 규정된 각 기술적∙관리적 조치의 기준으로 제1항 내지제5항에서 구체적인 보호조치를 정하고 있을 뿐만 아니라, 제6항에서 ‘방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호에 따른 그 밖에 개인정보의안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.’ 라고 규정하고 있고, 이에 따라 방송통신위원회가 마련한 이 사건 고시는 해킹 등 침해사고 당시의 기술수준 등을 고려하여 정보통신서비스 제공자가 구 정보통신망법 제 28조 제1항, 구 정보통신망법시행령 제15조 제6항에 따라 준수해야 할 기술적∙관리적 보호조치의 구체적인 기준을 규정하고 있으므로, 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적.관리적 보호조치를 다하였다면, 특별한 사정이 없는 한, 정보통신서비스 제공자가 개인정보의 안전성 확보에필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다“고 판단하였습니다(대법원 2015. 2. 12. 선고 2013다43994, 44003 판결 등 참조).
3. 실시간 모니터링을 하지 않는 등 침입탐지시스템이나 DLP 솔루션을 적절하게 사용하지 못한 과실 여부에 대한 쟁점
가. 실시간 모니터링 또는 DLP 솔루션 사용의무의 유무
DLP 솔루션은 사용자 컴퓨터에 저장된 전자문서 및 데이터가 외부로 유출되는 것을 탐지 또는차단, 로그를 생산하여 자료의 유출을 방지하고 감시 및 추적 기능을 제공하는 자료유출방지시스템인바, 이름, 주소, 전화번호, 이메일주소, 주민등록번호, 계좌번호 등 특정 패턴의 정보가들어 있는 파일을 식별할 수 있는 기능, 이들 정보가 특정 건수 이상 유출될 경우에는 관리자에게 경고를 발송하거나 위 유출을 차단시키거나 일시적으로 차단 후 상급자가 승인을 하여야 위차단이 해제되는 기능, 모니터링에 있어서 실시간 유출조회 화면을 통해 유출상황을 관리자가한눈에 파악할 수 있는 기능 등을 제공하고 있는 사실, 또한 피고가 사용한 모니터링 프로그램은 동시에 여러 개의 probe(측정기)를 사용하여 특정지점의 트래픽, 스피드 등을 모니터링할수 있고, 윈도우, 리눅스 OS 뿐만 아니라 SQL Server의 모니터링까지도 가능합니다.
그러나 이 사건 DB 서버에서 대량으로 유출되는 정보를 실시간으로 모니터링하는 기능이나 사용자 컴퓨터에 저장된 전자문서 및 데이터가 외부로 유출되는 것을 탐지 또는 차단하고 이를 감시 및 추적하는 기능을 갖춘 DLP 솔루션을 설치∙운영해야 하는 것까지 규정한 것으로 보기는어렵다고 보았습니다. 따라서 피고가 위와 같은 기능을 사용하지 않았다는 점만으로는 개인정보에 대한 불법적인 접근을 차단하기 위한 기술적ᆞ관리적 보호조치를 위반한 것이라고 볼 수도 없다고 판단한 것입니다.
정보통신서비스 제공자는 정보통신망 관련 법령상의 기술적∙관리적 보호조치를 이행함으로써개인정보 보호조치를 다한 것으로 볼 것이고, 구 정보 통신망법 제45조는 제6장 ‘정보통신망의안정성 확보 등’ 부분에 규정되어 있고 그 보호조치의 목적이 ‘정보통신망의 안정성 및 정보의신뢰성’을 확보하기 위한 것에 있을 뿐만 아니라 정보보호지침을 정하여 정보통신서비스 제공자에게 이를 지키도록 권고할 수 있다고만 규정하고 있는 점, 피고는 구 정보통신망법 제46조의3 제1항, 정보보호지침 제5조 제1항 [별표 3]에 규정된 정보보호 안전진단을 받아야 하는 자중 ‘주요정보 통신서비스 제공자 및 인터넷접속역무 제공자’, ‘집적정보통신시설 사업자’에 해당하지 아니하므로 기술적 보호조치 중 네트워크 보안으로 2.1.1.항의 트래픽 모니터링에 대 한안전진단을 받아야 할 의무는 없는 것으로 보이는 점에 비추어 보면, 피고가 준수 해야 할 정보통신망 관련 법령상의 개인정보 보호를 위한 기술적.관리적 보호조치에 개인정보처리시스템에서 대량으로 유출되는 정보를 실시간으로 모니터링하는 보호조치 가 포함되어 있다고 보기는어렵다고 판단한 것입니다..
나. 실시간 모니터링 조치의 위반 여부
(i) 피고는 L 등과 개인정보처리 시스템에 대한 침입차단시스템 또는 침입탐지시스템의 설치, 유지보수, 증설계약 등을 체결하여 위 각 시스템을 설치∙운영하고 있는바, 침입차단시스템은 개인정보처리시스템에 대한 접속권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 제한하는방화벽을 설치하는 방법으로 운영하고 있고, 침입탐지시스템은 침입차단 시 개인정보처리 시스템에 접속한 IP 주소 등을 재분석하여 불법적인 개인정보 유출시도를 탐지하도록 하는 등의 방법으로 운영하고 있는 점, (ii) 피고가 사용한 DLP 솔루션은 피고 직원의 컴퓨터에서 외부로전송되는 내역만을 탐지대상으로 삼을 수 있었을 뿐, 이 사건 DB 서버에서 게이트웨이 서버로전송되는 내역 및 윈도우 서버 운영체제를 사용하는 게이트웨이 서버에서 피고 직원의 컴퓨터로 전송되는 내역이나 암호화된 비밀번호와 주민등록번호를 탐지할 수 없었던 점, (iii) 이 사건해킹사고 당시 이 사건 해커가 사용한 방식처럼 ‘command 상태(일명 DOS창)’에서 FTP 프로그램을 실행하여 파일을 전송할 경우, 위 DLP 솔루션이 이름, 주소, 전화번호, 이메일 주소 등 개인정보 유출을 탐지하지 못하는 프로그램 오류(bug)가 존재하여 위와 같은 개인정보유출이 탐지된 내역이 없었던 점, (iv) 피고와 보안관제계약을 체결한 L의 모니터링은 네트워크 장비의 정상작동 여부를 확인하기 위한 것이어서 그 모니터링상의 임계치를 심야시간 과 업무시간을 나누어 설정할 이유가 없었으므로, 야간에 2GB, 2GB, 6GB 합계 10GB에 해당하는 트래픽을 명백한 이상징후로 포착하지 못하였다고 하여 모니터링 조치에 문제가 있었다고단정하기 어려운 점, (v) DLP 솔루션에는 파일 용량을 기준으로 정보 유출을 차단하는 기능이없었을 뿐만 아니라, 평소 트래픽에 비하여 이 사건 해커가 2GB, 2GB, 6GB로 나누어 외부로 유출한 파일로 인하여 발생한 트래픽이 이상징후로 판단하여야 할 정도의 대용량이라고 보기도 어려운 점, (vi) 아래 2)항에서 보는 바와 같이 피고는 업무상 FTP 프로그램을 사용할필요가 있었으므로 FTP 파일 전송을 모니터링하고 통제하는 기능을 사용하지 않았다는 점만으로는 보안상 주의의무 를 위반하였다고 보기 어려운 점 등에 비추어 보면, 피고가 정보통신망법관련 법령에서 규정한 개인정보 보호를 위한 기술적∙관리적 보호조치를 적절하게 이행하였다고판단하였습니다.
4. 쟁점에 대한 결론
법원은 피고가 개인정보보호를 위해 이 사건 DB 서버에서 유출되는 정보를 실시간 모니터링하거나 DLP 솔루션을 사용해야 할 기술적∙관리적 보호조치 의무가 있다고 볼 수 없고, 그렇지 않다고 하더라도 침입탐지시스템과 DLP 솔루션을 통하여 트래픽과 FTP 파일전송을 모니터링하여 이상징후를 탐지해야 할 기술적∙관리적 보호조치를 위반하였다고 보기 어려우므로, 원고들의 관련 주장은 이유 없다고 판단하였던 것입니다.
정회목 변호사
댓글 없음:
댓글 쓰기