대법원 2015다249054 판결
정보통신서비스 제공자는 법령에 따라 개인정보의 분실, 도난 등을 방지해야 할 법령상의 의무가 있는데, 위 사건 당시 기술적, 관리적 보호조치를 규정한 법령은 정보통신망법 제28조, 시행령 제15조, 방통위 고시인 개인정보의 기술적, 관리적 보호조치 기준입니다.
대법원에서 쟁점이 된 것은 위 방통위 고시 제4조 제4항, 제5항 등이 정하고 있는 기술적, 관리적 보호조치를 다하였는지 여부였습니다.
(1) 위 고시 제4조 제4항은 정보통신서비스 제공자 등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에서 공인인증서 등 안전한 인증수단을 적용하여야 한다고 규정하고 있습니다. 위 사건에서 개인정보취급자는 A빌딩에서 다른 장소인 IDC에 있는 DB서버에 VPN을 이용하여 연결하여 업무를 처리하였습니다. 해킹사고는 해커가A빌딩에 있던 직원의 컴퓨터에 침입하여 VPN을 통해 IDC의 DB서버에 접속하면서 발생한것입니다. 이에 대하여 법원은 VPN을 이용하여 접속한 것은 외부에서 IDC에 접속한 것이 아니므로 위 고시 제4조 제4항 적용되지 않는다고 판시하였습니다.
(2) 위 고시 제4조 제5항은 정보통신서비스 제공자가 불법적인 접근 및 침해사고 방지를 위해개인정보처리시스템에 대한 접속권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 제한하고 접속 IP주소를 재분석하여 불법적인 개인정보 유출시도를 탐지하는 기능을 포함한 시스템을설치 운영하여야 한다고 규정하고 있습니다. 이에 대하여 주요 정보의 유출을 차단, 예방하는하드웨어/소프트웨어인 DLP 솔루션을 설치 운영해야 한다고 보기 어렵고, 대량 유출 정보를실시간으로 모니터링하는 보호조치까지 포함된다고 보기도 어렵다고 판단하였습니다.
(3) 위 고시 제4조 제5항 제1호에 관해서는, 정보통신서비스 제공자는 게이트웨이 서버와DB 서버에 접속할 수 있는 IP주소를 권한이 있는 직원들이 사용하는 컴퓨터의 IP 주소로 한정하였습니다. 이 사건에서는 키로깅을 통하여 DB 서버의 관리자의 아이디와 비밀번호를 취득하여 게이트웨어 서버와 DB 서버에 접속하였던 것이므로, 위 고시 규정의 기술적, 관리적 보호조치를 위반하였다고 볼 수는 없다고 보았습니다.
(4) 이 사건에서 개인정보처리자가 퇴근시 로그아웃 하지 않았고, 자동 로그아웃 기능도 설정되지 않았습니다. 법원은 이에 대하여 위 법령이나 계약상 의무에 위와 같은 사항이 있다고 볼수는 없다고 보았습니다. 더구나 로그아웃 유무에 따라 키로깅을 통한 해킹을 방지할 수 없다고인정하였습니다.
(5) 정보통신서비스 사업자의 개인정보보호 업무지침 제26조 제4항에 개인정보 접근 PC에서FTP 서비스를 제공하는 행위를 금하고 있는 데, 이 사건에서 개인정보 데이터가 FTP를 통하여유출되었습니다. 그러나 법원은 위 업무지침은 개인정보 접근 PC를 FTP 서버로 설정하는 행위를 금지하고 있을 뿐이라고 해석하여, 개인정보 접근 PC를 FTP 클라이언트로 사용하여 전송한 것은 위 업무지침에 위반한 것으로 보지 않았습니다.
대법원은 위와 같은 사유로 개인정보유출 피해자들의 상고이유를 기각하였습니다.
정회목 변호사
댓글 없음:
댓글 쓰기