Posted by [ 대상 판결: 서울중앙지방법원 2020. 10. 29. 선고 2016가합563586 판결, 서울중앙지방법원 2020. 11. 20. 선고 2016가합547768 판결 ]
2016년 여름, 인터파크에 생긴 일
2016년 5월 3일 인터파크의 직원인 A씨는 동생으로부터 개인 이메일 계정으로 ‘우리가족.zip’이라는 파일이 첨부된 메일을 한 통 받았습니다. A씨는 종종 이메일을 주고받던 동생의 이메일 주소로 발송된 메일이었기에, 의심 없이 업무용 PC에서 가족사진으로 보이는 첨부파일을 열었지요. 첨부파일은 사실 익명의 해커가 발송한 가족사진이 포함된 화면보호기를 위장한 악성코드였고, A씨의 PC는 그렇게 악성코드에 감염되었습니다. 안타깝게도 인터파크가 설치한 백신 프로그램은 악성코드의 감염을 탐지하지 못했습니다.
해커는 같은 날 A씨의 PC를 이용하여 인터파크 직원들이 공용으로 사용하는 파일공유서버의 관리자의 계정에 네트워크 공유를 이용하여 원격접속하고, 위 서버에 악성코드를 업로드한 뒤 실행시켰습니다. 해커는 파일공유서버를 원격으로 조종하여 사전에 확보한 PC 공통 비밀번호로 내부망의 네트워크 공유 연결을 시도하여, 연결에 성공한 PC에 원격 접속하여 악성코드를 감염시켰습니다.
해커는 이틀 뒤인 5월 5일 인터파크의 다른 직원 B씨의 업무용 PC에서 원격으로 인터파크의 DB서버관리자이자 개인정보취급자인 직원 C씨의 PC에 접속했습니다. 당시 C씨의 PC는 외부에서 VPN으로 접속하여 장애처리업무를 수행하고자 켜 놓은 상태로 망분리 프로그램인 미라지웍스 vDesk를 통해 업무망에 접속이 되어 있었습니다. 해커는 C씨의 PC를 통해 인터파크 이용자들의 개인정보가 저장된 DB서버(HQDB 서버)에 별도 인증 없이 접속하여 위 개인정보의 백업본을 웹서버와 공유하고 있는 공용 파티션 폴더에 16개로 분할하여 저장했습니다. 이후 해커는 웹 서버에 접속하여 위 파일을 다시 웹 서버로 이동시키고, C씨의 PC로 다운로드 한 뒤 B씨의 PC로 이동시키고, 외부의 수원 소재 PC방으로 전송하였습니다.
그렇게, 약 2,500만 건의 개인정보가 유출되었습니다. 인터파크의 대표가 익명의 협박메일을 받은 것은 7월 11일있고, 경찰신고는 7월 13일, 회원에 대한 공지는 25일에 이루어졌지요. 경찰은 7월 28일 이 해킹이 북한의 소행으로 보인다고 발표하였고, 이 사건은 아직도 미제 사건으로 남아있습니다.
작년부터 이용자들의 손해배상 승소 판결 이어져
당시 적용되던 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘망법’)은 1) 정보통신서비스 제공자가 고의 또는 과실로 개인정보의 관리 및 파기에 관한 망법의 규정들을 위반하였고, 2) 개인정보가 누출된 경우 정보주체가 300만원 이하의 범위에 손해배상을 청구할 수 있도록 규정하고 있었습니다(제32조의2, 이하 ‘법정손해배상규정’). 그리고 위 망법 규정에 따라 인터파크 이용자 일부는 인터파크에 대한 손해배상청구소송을 제기하였고, 2020년 10월부터 지난달까지 각 원고에게 10만 원씩 손해배상을 하라는 판결이 이어지고 있습니다.
인터파크는 무엇을 잘못했나
그렇다면 인터파크는 대체 망법의 어떤 조항을 위반했을까요? 2016가합563586 판결의 재판부는 인터파크가 1) 개인정보처리시스템에 대한 개인정보취급자의 접속 시간 제한 조치를 취하지 않아서, C 씨의 업무용 PC가 2016년 5월 2일부터 9일까지 7일간 이용자의 개인정보가 저장된 서버에 추가적 인증 없이 접속가능했던 점(망법 제28조 제1항 제2호 위반), 2) 비밀번호는 암호화하여 저장해야 하는데, A씨가 업무용 PC에 내부 서버 및 업무용 PC 등에 접속할 수 있는 공용관리계정의 비밀번호를 암호화하지 않고 txt 파일로 저장해 두었고, 인터파크의 공유서버(Network Attached Storage, NAS)에 C씨 등이 DB서버, 웹서버에 접속할 때 사용할 수 있는 계정의 비밀번호가 암호화되지 않은 채로 엑셀파일(파일에는 암호가 걸려있었음)로 저장되어 있었던 점(동조 제4호 위반), 3) 늦어도 협박메일을 받은 2016년 7월 11일에는 개인정보 유출사실을 알았고, 이로부터 24시간 내에 이용자에게 알릴 의무를 부담하였음에도, 이를 위반하고 7월 25일에야 비로소 공지한 점(제27조의3조 제1항 위반)이 망법 위반에 해당한다고 판단하였습니다.
인터파크는 이미 2016년 12월 방송통신위원회로부터 동일한 규정들 위반을 이유로 역대 최대 금액인 44억 8,000만원의 과징금 및 2,500만원의 과태료를 부과받기도 하였지요. 반면에 2016가합547768 판결의 재판부는 위 3)번 항목에 대한 언급 없이 1), 2)번을 법 위반 사항으로 보았습니다.
망법 위반과 개인정보 유출 사이의 인과관계에 대하여
인터파크는 위 두 소송에서 인터파크가 위에서 명시된 망법의 규정을 위반하였다고 하더라도, 각 규정 위반과 개인정보 유출 사이에 인과관계가 없으니, 손해배상책임도 없다 주장을 하였습니다. 흥미로운 점은 두 법원이 이에 대해서 각기 다른 이유로 동일하게 손해배상책임이 인정된다는 결론에 도달했다는 점입니다.
먼저 2016가합563586 판결의 재판부는 망법상 법정손해배상규정은 망법 위반과 개인정보 유출 사이에 인과관계가 존재할 것을 명시하고 있지 않기 때문에, 애당초 인과관계는 요구되지 않는다고 판단하고, 인과관계가 있는지를 살펴보지 않은 채로 손해배상책임을 인정했습니다. 한편 2016가합547768 판결의 재판부는 인터파크의 망법 위반과 개인정보 유출 사이에 인과관계가 존재한다고 보았습니다. 구체적으로 법원은 1) 인터파크가 이 사고 이후 개인정보취급자가 10분 동안 작업을 하지 않을 때 자동으로 개인정보처리시스템 등에서 로그아웃시키고, 서버접근제어 프로그램 접속 시 휴대전화번호 인증을 추가로 도입하였는데, 이 사고 전에 위 조치를 취하였다면 개인정보의 유출이 쉽게 이루어지지 않았을 것이고, 2) 평문으로 저장되어 있던 각 비밀번호를 해커가 쉽게 인지하여 내부망 공격 당시 사용했을 가능성이 크다고 보았습니다.
데이터 3법 개정, 그리고 법 위반과 개인정보 유출의 인과관계
작년 데이터 3법이 개정되면서 망법상의 정보통신서비스 제공자의 개인정보 보호에 관한 규정이 「개인정보 보호법」으로 이관되었습니다. 그리고 「개인정보 보호법」의 법정손해배상조항은 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 유출된 경우에는 정보주체가 300만원 이하의 범위에서 손해배상을 청구할 수 있다고 규정하고 있으므로, 이제는 정보통신서비스 제공자의 고의나 과실에 의한 법 위반과 개인정보 유출 사이에 인과관계가 인정되어야 비로소 손해배상책임이 인정되는 점이 명확합니다. 즉 개정법 체제에서는 정보통신서비스 제공자가 「개인정보 보호법」을 위반하였더라도, 법 위반으로 인하여 개인정보가 유출된 것이 아니라면 손해배상책임을 면하게 된 것이지요. 2016가합563586 판결에서 재판부의 해석과 비교해 본다면, 현행법에서 이용자의 권리 구제가 조금 더 어렵게 된 셈입니다.
「개인정보 보호법」 위반으로 인하여 개인정보 유출돼도 손해배상책임 부정될 수 있어
참고로 기업의 「개인정보 보호법」 위반으로 인하여 개인정보가 유출되었다고 하여, 바로 고객들에게 손해가 발생하는 것은 아닙니다. 대법원은 개인정보 유출로 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는 유출된 개인정보의 종류와 성격, 정보주체를 식별가능성, 제3자의 유출된 개인정보 열람 여부나 열람 가능성, 유출된 개인정보의 확산 범위와 추가적인 법익침해 가능성, 개인정보처리자의 개인정보 관리실태 및 유출의 경위, 유출로 인한 피해 발생 및 확산을 방지 조치 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다고 보고 있습니다(법원 2012. 12. 26 선고 2011다59834,59858,59841 판결). 그리고 법원은 이에 따라 유출된 개인정보가 회수되거나 폐기되었고, 유출된 개인정보가 제3자에게 제공되었을 현실적인 가능성이 없는 경우에 정보주체에게 정신적 손해가 발생하지 않았다고 보아 손해배상책임을 부정하고 있습니다(서울고등법원 2019. 5. 3 선고 2017나2074963, 2017나2074970 판결, 서울중앙지방법원 2016. 2. 5. 선고 2014가합4731, 2014가합569344, 2014가합8030, 2014가합516159 판결).
황혜진 변호사/변리사
법무법인 디라이트
hjh@dlightlaw.com
One comment