대법원 2021. 8. 19. 선고 2018두56404 과징금부과처분취소 판결
1.
판결의 요지
원고가 운영하는 마이올레 홈페이지(고객 이용요금 명세조회용) 등이 2013년경 해킹된 것과 관련하여 피고가 원고를 상대로 개인정보에 대한 접근 통제장치를 적절히 운영하지 않았음 등을 이유로 과징금을 부과하였고, 원고가 위 과징금부과처분의 취소를 구하는 사건에서, 원고가 마이올레 홈페이지를 통한 개인정보 유출과 관련하여 이 사건 고시 제4조 제9항에 따른 조치, 즉 자신이 취급 중인 개인정보가 해킹 등 침해사고에 의해 유출되지 않도록 개인정보처리시스템과 개인정보취급자의 컴퓨터에 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치를 다하지 않았다고 단정하기는 어렵다고 본 판결입니다.
2.
적용법리
가. 구 「개인정보의 기술적․관리적 보호조치 기준」(2015.
5. 19. 방송통신위원회고시 제2015-3호로 개정되기 전의 것, 이하 ‘이 사건 고시’) 제4조 제9항의 적용 범위, 개인정보처리시스템의 범위
이 사건 고시 제4조 제9항은 정보통신서비스 제공자 등의 내부적인 부주의로 인하여 개인정보가 외부로 유출되는 사고뿐만 아니라 정보통신서비스 제공자 등이 기술적 보호조치를 충분히 다하지 못하여 해킹과 같이 외부로부터의 불법적인 접근에 의해 개인정보가 외부로 유출되는 사고(이하 내부적 부주의 또는 외부로부터의 불법적인 접근 등으로 인한 개인정보 유출사고를 통틀어 ‘해킹 등 침해사고’라고 한다)를 방지하기 위한 목적에서 마련되었다.
관련 규정의 체계, 입법 목적에다가 구 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」(2020.
8. 4. 대통령령 제30894호로 개정되기 전의 것) 제15조 제2항 제1호, 이 사건 고시 제2조 제4호에서 모두 ‘개인정보처리시스템’을 ‘개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템’으로 정의하고 있는 점 등에 비추어 볼 때, 이 사건 고시 제4조 제9항의 ‘개인정보처리시스템’은 개인정보의 생성, 기록, 저장, 검색, 이용과정 등 데이터베이스시스템(DBS)
전체를 의미하는 것으로, 데이터베이스(DB)와 연동되어 개인정보의 처리 과정에 관여하는 웹 서버 등을 포함한다고 봄이 타당하다.
나. 이 사건 고시 제4조 제9항 위반 여부 판단 기준
정보통신망법령의 문언, 입법 목적 및 규정 체계 등을 고려하면, 이 사건 고시 제4조 제9항에서 정보통신서비스 제공자 등의 의무로 규정하고 있는 조치는 ‘정보통신서비스 제공자 등이 취급 중인 개인정보가 인터넷 홈페이지 등에 대한 해킹 등 침해사고에 의해 유출되지 않도록 개인정보처리시스템과 개인정보취급자의 컴퓨터에 취하여야 할 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치’라고 해석할 수 있다. 정보통신서비스 제공자 등이 이 사건 고시 제4조 제9항에서 정한 보호조치를 다하였는지 여부는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종․영업규모, 정보통신서비스 제공자 등이 인터넷 홈페이지 등의 설계에 반영하여 개발에 적용한 보안대책․보안기술의 내용과 실제 개발된 인터넷 홈페이지 등을 운영․관리하면서 실시한 보안기술의 적정성 검증 및 그에 따른 개선 조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹에 의한 개인정보 유출의 경우 이에 실제 사용된 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피 가능성, 정보통신서비스 제공자 등이 수집한 개인정보의 내용과 개인정보의 유출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 판단하여야 한다.
정회목 변호사
댓글 없음:
댓글 쓰기