지난 2013년과 2014년, 해킹으로 인해 KT 홈페이지 ‘마이올레’와 ‘올레클럽’으로부터 약 1170만 건의 개인정보가 유출되는 사고가 있었습니다. 이 사건으로 인해 과징금을 부과받은 KT가 항소를 제기하였는데요. 이 항소가 인정되어 KT의 과징금 7000만 원이 처분 취소되었습니다.
여기서 가장 주목할만한 점은 정보통신서비스 제공자가 관리해야 할 개인정보처리시스템에 웹 서버와 웹 페이지가 포함된다는 점입니다.
개인정보의 기술적·관리적 보호조치에서 정의하는 개인정보처리시스템이란 ‘개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스 시스템’ 을 말합니다.
개인정보의 안전성 확보조치에서 정의하는 개인정보처리시스템이란 ‘데이터베이스 시스템 “등” 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템’을 말합니다.
이처럼 두 조치에서 말하는 정의가 다르고 이로 인한 모호성 때문에 데이터베이스 외에 ERP, 웹 서버, 웹 홈페이지 등이 개인정보처리시스템에 포함되느냐의 논란이 존재해왔는데요. 이번 대법원의 판결로 인해 논란의 마침표가 찍힌 것입니다. 이로서 기업은 데이터베이스 시스템과 마찬가지로 웹 서버·웹 페이지 또한 관리에 더욱 주의를 기울여야겠습니다.
또한 방화벽 설치, 웹 취약점 점검 실시, 모의해킹 실시 등과 같은 행동들이 KT가 보호조치 의무를 다한 것으로 인정되는 것에 기인했다에 주목할 필요가 있습니다. KT가 퇴소자의 ID 말소라는 매우 기본적인 사항을 지키지 않았음에도 불구하고 말입니다.
물론 기본적인 보호조치도 당연히 해야 하지만, 이는 기업들이 평소 개인정보 보호 조치를 성실히 이행한다면, 해킹과 같은 사고가 발생하더라도 위 행위들이 면책 요소로 인정받을 수 있음을 시사합니다.
데이터베이스뿐만 아니라 웹 서버 및 웹 페이지를 통해서도 이용자들의 정보에 접근이 가능하므로, 이 들 또한 철저하게 관리해야 할 대상임이 당연합니다. 대법원의 판결이 공표된만큼, 기업들은 경각심을 갖고 더 높은 수준의 정보 보호관리 모습을 보여야겠습니다.
Posted by 
One comment