대법원 2018. 1. 25. 선고 2015다24904 판결
S사는 인터넷 포털 서비스업을 영위하는 업체로서 2011. 7.경에 발생한 해킹사고로 서비스에가입한 사용자들 약 3500만명의 가입 당시 성명, 주민등록번호, 아이디(ID), 비밀번호, 이메일 주소, 주소, 전화번호 등 개인정보가 유출되는 사고를 당했습니다. 유출사고는 S사의 직원이 공개용 압축프로그램을 사용하던 중에 해커가 심어 놓은 악성 프로그램인 dll 파일을 함께다운로드 받아 발생했습니다. 악성 프로그램은 키로깅 정보를 파일로 저장하게 하고 해커가 생성된 정보를 확인하고 서버에 관리자 아이디로 로긴하여 사용자들의 개인정보를 FTP를 이용하여 모두 다운로드 받은 것입니다.
이 사건에서 개인정보의 유출을 방지하기 위한 기술적 관리적 조치를 취하였는지가 쟁점이었습니다.
정보통신망법(시행 2011.7.6. 법률 제10560호, 2011.4.5. 일부개정)
제28조(개인정보의 보호조치) ① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다.
1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영
3. 접속기록의 위조·변조 방지를 위한 조치
4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치
5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
|
2015. 3. 20.에 있었던 서울고등법원(2013나20037)의 판결에서 이 사건 해킹사고 당시정보통신망 관련 법령에서 정한 기술적 관리적 보호조치의 내용, 당시 보편적으로 알려져 있는정보보안의 기술 수준, 피고가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의회피가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여, S사가 개인정보 유출 방지에관한 기술적 관리적 보호조치를 이행하지 아니한 과실로 인하여 이 사건 해킹사고가 발생하였다고 보기 어렵다고 판단하여 S사가 승소하였습니다.
이와 관련한 다른 사건에서 대법원은 “구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2012. 8. 17. 대통령령 제24047호로 개정되기 전의 것, 이하 ‘구 정보통신망법시행령’이라 한다) 제15조는 구 정보통신망법 제28조 제1항 각호에 규정된 각 기술적∙관리적 조치의 기준으로 제1항 내지 제5항에서 구체적인 보호조치를 정하고 있을 뿐만 아니라, 제6항에서‘방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.’ 라고 규정하고 있고, 이에 따라 방송통신위원회가 마련한 이 사건 고시는 해킹 등침해사고 당시의 기술수준 등을 고려하여 정보통신서비스 제공자가 구 정보통신망법 제 28조제1항, 구 정보통신망법시행령 제15조 제6항에 따라 준수해야 할 기술적∙관리적 보호조치의구체적인 기준을 규정하고 있으므로, 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는기술적 관리적 보호조치를 다하였다면, 특별한 사정이 없는 한, 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다“고 판단한 바가 있습니다(대법원 2015. 2. 12. 선고 2013다43994, 44003 판결 등 참조).
위 항소심 사건에서 원고들은 상고하였으나 대법원은 2018. 1. 25. 상고를 기각하여 항소심의 결론대로 확정되었습니다. 다만, 이후 개정된 개인정보보호법, 정보통신망법 등에서 기술적, 관리적 조치의 범위와 내용이 보다 구체적으로 설정되어 있으므로 현재에는 개인정보 보호의정도가 보다 개선되었습니다. 개인정보를 사용 및 보관해야 하는 사업자, 스타트업, 벤처, 중소기업 등은 변경된 기술적, 관리적 조치에 주의하여야 할 것입니다.
정회목 변호사
댓글 없음:
댓글 쓰기