정보통신서비스 제공자는 법령에 따라 개인정보의 분실, 도난 등을 방지해야 할 법령상의 의무가 있는데, 위 사건 당시 기술적, 관리적 보호조치를 규정한 법령은 아래와 같습니다.
정보통신망법 (시행 2011.7.6. 법률 제10560호, 2011.4.5. 일부개정)
제28조 (개인정보의 보호조치) ① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다.
1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영
3. 접속기록의 위조·변조 방지를 위한 조치
4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치
5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
시행령 제15조 (개인정보의 보호조치) 정보통신서비스 제공자가 취하여야 할 개인정보의 안전성 확보에 필요한 기술적, 관리적 조치를 보다 구체적으로 규정.
개인정보의 기술적, 관리적 보호조치 기준 (방송통신위원회 고시 제2011-1호)
|
또한 정보통신서비스를 이용하려는 이용자와 이용계약을 체결하면서 개인정보를 필수적으로 제공하도록 요청하여 수집하였다면, 정보통신서비스 제공자는 수집한 개인정보 등이 분실, 도난, 누출, 변조, 훼손되지 않도록 안전성 확보에 필요한 보호조치를 취하여야 할 이용계약상의 의무도 부담합니다.
그런데 위 대법원은 개인정보 유출 피해자들의 상고심에서 정보통신서비스 제공자가 위와 같은법령상, 계약상 의무를 위반하지 않았다고 판단하였습니다.
그 주요 근거는 정보통신서비스의 개방성, 네트워크 시스템과 운영체제 등의 내재적 취약성 등으로 해커 등의 침입에 완벽한 보안을 갖추는 것은 불가능하다고 보아, 정보통신서비스 제공자가 갖추어야 할 개인정보의 안전성 확보에 필요한 보호조치에 대하여 위와 같은 특수한 사정을고려해야 한다는 것이었습니다. 결국 여러 사정을 종합적으로 고려하여 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단해야 한다고판시한 것입니다.
구체적으로는 위 방통위 고시에서 정하고 있는 기술적, 관리적 보호조치를 다하였다면 정보통신서비스 제공자가 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고보기 어렵다고 판단하였습니다. 다만, 정보통신서비스 제공자가 마땅히 준수해야 한다고 예상할 수 있고 사회통념상 합리적으로 기대 가능한 보호조치를 다하지 아니하였거나, 불법행위에도움을 주지 말아야할 주의의무를 위반하여 타인의 불법행위를 용이하게 하고 피해자의 손해발생과 인과관계가 성립하는 경우에는 예외적으로 위법행위에 대한 책임을 물을 수 있다고 판단하였습니다.
다만, 대법원은 위 방통위 고시에 특정 보호조치를 할 의무가 규정되어 있지 않다는 이유만으로정보통신서비스 제공자가 위와 같은 보호조치 의무를 부담하지 않는 것처럼 판시한 부분에 대하여 적절하지 않다고 판시하였습니다. 그러나 이 사건은 해커가 이미 원격데스크탑 연결과 키로깅을 통하여 아이디와 비밀번호를 획득하였기 때문에 고시상 또는 적절한 보호조치를 하였더라도 DB서버에 로그인하는 것을 막을 수 없다고 보았습니다.
이 사건에서 아쉬운 점은 정보통신서비스 제공자의 직원이 업무상 부주의로 키로깅 해킹 프로그램이 업무용 PC에 설치되었고 이로 인하여 게이트웨어 서버, DB 서버에 접속하여 개인정보를 유출하였던 것인데, 회사의 책임이 없다고 보이지 않는 사안에서 최소한의 책임이라도 묻지못한 점이라고 보입니다.
정회목 변호사
댓글 없음:
댓글 쓰기