서울행정법원 2016. 8. 18. 선고 2014구합15108 판결, 서울고등법원 2016누64533, 대법원 2018두56404
1. KT에 대한 해킹 사고와 방송통신위원회의 과징금 처분
해커A는 2013. 8. 8.부터 2014. 2. 25.까지 KT의 마이올레 홈페이지를 통하여 불법적으로 접근하여 타인의 요금명세서를 조회하는 방식으로 합계 11,708,875건 (이용자수 기준 9,818,074명)의 개인정보를 유출하였고, 또 해커B는 올레클럽 홈페이지의 DB 서버에 에 합계 약 2,753회 접속하여 합계 83,246건의 개인정보를 유출하였습니다.
방송통신위원회는
2014. 6. 26. 이 사건 해킹사고와 관련하여 KT가 구 정보통신망법 제28조 제1항 제2호, 그 시행령 제15조, 구 「개인정보의 기술적·관리적 보호조치 기준」(2015.
5. 19. 방송통신위원회 고시 제2015-3호로 개정되기 전의 것) 제4조 제2항, 제5항, 제9항을 위반하였다고 보아, 구 정보통신망법 제64조의3 제1항 제6호에 따라 과징금 7,000만 원을 부과하는 처분을 하였습니다. 그 처분 사유는 아래와 같습니다.
가. 마이올레 홈페이지
해킹
(1)
제1처분사유 : 일단 로그인을 하면 타인의 고객서비스계약번호(9자리)를 입력하더라도 인증 단계 없이 타인의 정보(이름 등)까지 조회 가능(이 사건 고시 제4조
제5항, 제9항 위반)
(2)
제2처분사유 : 특정 IP에서 일 최대 수십만 건의 개인정보를 조회하였음에도 비정상적인 접근을 탐지, 차단하지 못함(이 사건 고시 제4조 제5항 위반)
나. 올레클럽 해킹
(3)
제3처분사유 : 사내망에서 인가받은 자가 접근할 수 있는 웹페이지에, 해커가 인터넷망을 통하여 접속하였음에도 탐지·차단하지 못함(이 사건 고시 제4조 제5항 위반)
(4)
제4처분사유 : 사용 중지된 퇴직자 ID로 8만 건의 개인정보를 조회하였음에도 비정상적 접근을 탐지, 차단하지 못함(이 사건 고시 제4조 제2항, 제9항 위반)
2. 개인정보의 안전성
확보 여부에
대한 판단
법리
대법원은 정보통신서비스제공자가 구 정보통신망법 제28조 제1항이나 정보통신 서비스이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는, ① 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, ② 정보통신서비스 제공자의 업종·영업 규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, ③ 정보보안에 필요한 경제적 비용 및 효용의 정도, ④ 해킹 기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, ⑤ 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여, 정보통신서비스제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다고 보고 있습니다(대법원 2015. 2. 12. 선고 2013다43994 판결 등).
3. 이 사건
처분의 적법
여부
가. 이 사건
고시 제4조 제2항에 관하여 - ② 정보통신서비스 제공자 등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다.
법원은 KT가 제4처분사유와 관련하여 이 사건 고시 제4조 제2항을 위반하였다고 판단하였습니다. 그 이유는 i) 이 사건 고시 제4조 제2항은 “접근권한을 말소하여야 한다”고 규정하고 있고, 이 사건 고시의 해설서에는 임직원이 퇴직한 경우 ‘해당 사용자의 계정을 삭제(또는 폐쇄)’하라고 설명하였고, ii) 접근권한 말소는 퇴직자의 계정으로는 개인정보처리시스템에 어떠한 접근도 가능하지 않도록 계정을 전면적으로 폐기하는 방법 등으로 개인정보처리시스템의 전 과정에서 식별되어 접근하지 못하도록 하는 조치를 취하였어야 하고, iii) KT가 계정관리시스템 및 N-STEP 인증 서버의 데이터베이스상 퇴직자의 사용자 계정(ID)을 말소한 것은 계정 사용 중지에 해당할 뿐이며, iv) 해커가 불상의 방법으로 취득한 URL 주소에는 ‘퇴직자 ID 변환 값’이 포함되어 있어 KT가 퇴직자의 접근권한을 말소하지 않아 개인정보가 누출되었다 것입니다.
나. 이 사건
고시 제4조 제5항에 관하여 - ⑤ 정보통신서비스 제공자 등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다. 1. 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 제한 2. 개인정보처리시스템에 접속한 IP 주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
(1)
제1처분사유와 관련
법원은 KT가 제1 처분사유와 관련하여 아래와 같은 사유로 이 사건 고시 제4조 제5항을 위반하였다고 보기 어렵다고 판단하였습니다. i) 이 사건 고시 제4조 제5항이 사전 혹은 사후에 상시적으로 웹 서버 접속 로그 기록 분석할 의무를 부과하는 것이라고 볼 수 없음, ii) KT가 침입차단과 침입탐지 기능이 동시에 구현된 침입방지시스템(IPS: Intrusion
Prevention System)인
Sniper IPS V7.0.e를,
침입탐지 기능을 수행하는 방화벽을, 웹쉘 공격을 방어하기 위한 웹쉘탐지시스템 등을 설치·운영하였고, IPS의 침입차단 정책을 설정하였으며 침입탐지 로그를 분석하고 로그 훼손을 방지하였으며, 동화된 점검 도구를 도입하였고 상시적으로 모의 해킹을 수행하였으므로, KT가 이 사건 고시 제4조 제5항에서 요구하는 침입탐지 또는 침입차단 기능을 갖춘 시스템을 설치하여 그 용법에 따라 적절히 운영하였다고 봄, iii) 파라미터 변조는 취약점이 널리 알려진 해킹 수법이나, 수많은 웹 서버마다 각기 다른 파라미터가 존재하고 파라미터에 할당할 수 있는 값도 달라질 수 있기 때문에 이를 사전에 탐지하여 차단하기가 쉽지 않고, 파라미터 변조 수법은 정상적으로 로그인해서 자신의 요금 정보를 조회할 때와 비교하면 시스템 입장에서는 서비스계약번호라는 숫자만 다른 숫자 값으로 달라졌기 때문에 이미 장착해놓은 ‘침입행위 패턴들’과는 달라 정상적인 이용자의 행동과 구별하기 어려움, iv) KT가 마이올레 홈페이지에 접속한 이용자와 서비스계약번호 대상자가 일치하는지 여부를 확인하는 2차 ‘인증’ 통제를 하지 않았으나 서비스계약번호는 원고 시스템 내부에서 검색을 하기 위한 기준값일 뿐 인증 수단이 아니었으므로 마이올레 홈페이지에 접속한 이용자와 서비스계약번호 대상자가 일치하는지를 확인하는 단계가 없었다고 하여 곧바로 이 사건 고시 제4조 제5항을 위반하였다고 볼 수 없음 등을 근거로 보았습니다.
(2)
제2처분사유와 관련
법원은 이 사건 고시 제4조 제5항을 위반하였다고 보기 어렵다고 판단하였습니다. i) 이 사건 고시 제4조 제5항이 사전 혹은 사후에 상시적으로 웹 서버 접속 로그 기록을 분석할 의무를 부과하는 것이라고 볼 수 없고, ii) KT는 침입차단과 침입탐지 기능이 동시에 구현된 침입방지시스템인
Sniper IPS V7.0.e를,
침입탐지 기능을 수행하는 방화벽을, 웹쉘 공격을 방어하기 위한 웹쉘탐지 시스템 등을 설치·운영 등의 이 사건 고시 제4조 제5항에서 요구하는, 침입탐지 또는 침입차단 기능을 갖춘 시스템을 설치하여 그 용법에 따라 적절히 운영하였고, iii) 해커가 마이올레 홈페이지에 1일 최대 34만 번 접속한 사실이 있으나 마이올레 홈페이지에 대한 1일 접속 건수가 약 3,300만 건에 이르는 점에 비추어 해커 접속은 정상 접속의 1% 미만이고, ‘분산형 서비스 거부 공격(DDos)’에 대한 침입차단은 초당 4,000회 이상 접속할 경우로 제한되어 사건의 경우 초당 약 3.94회여서 불과하여 이러한 이상행위에 해당하지도 않는다는 등을 근거로 하였습니다.
(3)
제3처분사유와 관련
법원은 이 사건 고시 제4조 제5항을 위반하였다고 보기 어렵다고 판단하였습니다. i) N-STEP 시스템은 상담사의 ID, 비밀번호, 해당 PC의 MAC 주소까지 비교하는 다중 인증 과정을 거쳐야 하여 해커에게 해당 URL 주소가 노출된 것에 대하여 원고에게 어떤 잘못이 있다고 단정하기 어렵고, ii) 올레클럽 사이트는 원래 외부에서의 접속도 허용된 사이트여서 외부 IP주소를 차단할 이유가 없고, iii) KT는 칩입방지시스템을 설치운영하는 등 이 사건 고시 제4조 제5항에서 요구하는, 침입탐지 또는 침입차단 기능을 갖춘 시스템을 설치하여 그 용법에 따라 적절히 운영하였고 웹 서버 접속 로그 기록 분석 의무가 있는 것도 아니라는 등의 이유로 위반이 없다고 판단하였습니다.
다. 이 사건
고시 제4조 제9항에 관하여 - ⑨ 정보통신서비스 제공자 등은 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보 취급자의 컴퓨터에 조치를 취하여야 한다.
(1)
제1처분사유와 관련
‘개인정보처리시스템’은 기본적으로 마이올레 홈페이지의 DB 서버를 의미하고, 웹 서버나 웹 페이지가 이에 포함된다고 볼 수 없어 KT가 운영하는 마이올레 홈페이지는 개인정보처리시스템이라고 볼 수 없으므로, KT가 마이올레 홈페이지에 이용자와 서비스계약번호 대상자가 일치하는지 여부에 관한 인증통제를 하지 않았다 하더라도 이 사건 고시 제4조 제9항을 위반하였다고 볼 수 없으므로, 법원은 이 사건 고시 제4조 제9항을 위반하였다고 보기 어렵다고 판단하였습니다.
(2)
제4처분사유와 관련
법원은 이 사건 고시 제4조 제9항은 기본적으로 일반적 이용자의 보편적 접근을 통하여 개인정보가 유출되지 않도록 조치를 취하라는 규정이지, 올레클럽 관련 URL을 불상의 방법으로 획득하는 것과 같은 해킹의 경우를 직접적으로 규율하기 위한 규정이 아니라고 보아 이 사건 고시 제4조 제9항을 위반하지 않았다고 보았습니다.
4. 법원의 결론
정보통신망법 제64조의3에 의하면 방송통신위원회는 정보통신서비스 제공자 등의 위반행위에 대하여 과징금 부과 여부에 관하여 재량을 가집니다. 그런데 KT가 이 사건 고시 제4조 제2항을 위반하였으나 이 사건 고시 제4조 제5항, 제9항을 위반하였다고 볼수 없으므로, 법원은 KT가 이 사건 고시 제4조 제5항, 제9항도 위반하였음을 전제로 한 이 사건 처분은 재량권을 일탈·남용하여 위법하다고 판단하여 이 사건 처분을 취소하였습니다. 다만, KT가 이 사건 고시 제4조 제2항은 위반하였으므로 1심과 같이 판결이 확정되더라도 방송통신위원회의 재처분에서 과징금을 모두 감액할 수는 없다고 보입니다.
본 사건에 대하여 서울고등법원은 2018. 8.
24. 방송통신위원회의 항소를 기각하였고 2019. 12. 현재 상고되어 대법원에 계류 중에 있습니다.
사안에서 법원은 일정한 해킹방지 툴을 사용한 경우에 대하여 KT가 자신의 의무를 충분히 이행하였다고 인정하고 있습니다만, 개인정보를 자신의 영업상의 목적을 위하여 수집 및 보관하여 자신의 이익을 위하여 사용하고 있는 기업의 책임을 엄격하게 판단하여 책임을 추궁한 것이 아니라 법령을 엄격하게 제한적으로 해석하여 아쉬운 판결로 보입니다.
정회목 변호사
댓글 없음:
댓글 쓰기