판례/행정분석

개인정보 보호조치, 어떻게, 얼만큼?

Posted by

[ 대상 판결: 서울행정법원 2016. 8. 18. 선고 2014구합15108 판결, 서울고등법원 2018. 8. 24. 선고2016누64533 판결, 대법원 2021. 8. 19. 선고 2018두56404 판결 ]

2013년부터 2014년까지, 해커들의 KT 웹사이트 해킹으로 인하여 무려 1,178만 건의 개인정보가유출되는 사건이 일어났습니다. 방송통신위원회는 KT가 「개인정보의 기술적∙관리적 보호조치 기준」(2015. 5. 19. 방송통신위원회 고시 제2015-3호로 개정되기 전의 것, 이하 ‘이 사건 고시’)을 위반하여 개인정보의 유출을 막지 못했다는 이유로 7,000만원의 과징금을 부과하였고, 이는 해킹사건에서 사업자에게 과징금이 부과된 최초의 사례였습니다. 그러나 법원은 KT가 청구한 과징금 부과처분 취소소송에서 KT의 손을 들어주었고, 2021년 8월 19일 대법원 판결로써 과징금 부과처분의 취소가 확정되었습니다. 법원은 왜 KT의 손을 들어준 것인지, 그리고 사업자들은 KT의 사례를 보고 안심해도 괜찮을지 판단하기 위해, 이 사건의 자세한 내막을 들여다보겠습니다.

KT 해킹사건의 전말

(1) 마이올레 웹사이트에 대한 해킹

마이올레 웹사이트는 이용자들의 자신의 요금명세서를 확인할 수 있는 웹사이트입니다. 해커는 본인의 PC에 해킹프로그램인 파로스 프로그램을 설치하고, 마이올레 웹사이트에 로그인하였습니다. 로그인에 성공하면, 마이올레 웹사이트의 쿠키에 파라미터(매개 변수)로서 각 가입자마다 부여된 고유식별번호인 9자리의 서비스계약번호가 저장되었습니다. 이후 웹사이트에 표시된 ‘요금명세서 보기’를 클릭하면, 각 서비스계약번호에 상응되는 요금명세서 정보를 화면에서 확인할 수 있었습니다.

해커는 ‘요금명세서 보기’ 클릭 시 서버로 전송되는 데이터 요청 메시지를 파로스 프로그램을 사용하여 중단시키고, 메시지의 서비스계약번호 항목에 임의의 9자리 숫자를 입력하였습니다. 임의의 9자리 숫자가 입력된 데이터 요청 메시지는 다시 서버로 전송되었고, 서버는 웹 브라우저로 해당 9자리 숫자에 상응되는 다른 이용자의 요금명세서를 전송하였습니다. 해커는 000000000부터 999999999까지의 9자리 숫자를 데이터 요청 메시지에 자동으로 입력하는 자동화 프로그램을 통해 다른 사용자들의 요금 정보와 이름, 주민등록번호, 주소, 서비스가입정보를 획득하였습니다. 로그인한 이용자가 타인의 서비스계약번호를 이용한 데이터 요청을 하는 경우 데이터 전송을 막을 수 있는 방어장치가 마련되어 있지 않았던 것입니다. 그 결과, 1,170만 건의 개인정보가 유출되기에 이르렀습니다.

(2) 올레클럽 웹사이트에 대한 해킹

올레클럽 웹사이트는 KT 상담사가 대리점에서 고객의 올레클럽 포인트를 조회할 수 있는 웹사이트입니다. KT 상담사가 올레클럽 웹사이트에서 고객의 포인트를 조회하는 절차는 N-STEP이라는 전산영업시스템을 통해 이루어졌습니다. 상담사가 N-STEP 시스템에 로그인하면, AUT 서버는 계정을 확인하여 접속이 허용된 사용자일 경우 ‘인증토큰’을 발급하였습니다. 이후 상담사는 N-STEP 프로그램에서 ‘올레클럽 포인트 조회’ 메뉴를 선택함으로써 상담사의 ID, 요청 작업이 내려진 애플리케이션 이름 등의 정보를 암호화∙조합한 URL을 생성하였고, 올레클럽 웹 서버는 URL을 해석하여 가입자 정보를 조회할 수 있는 화면을 전송하였습니다. 상담사는 전송된 화면에서 전화번호 등을 검색하여 특정 가입자의 올레클럽 포인트, 휴대전화 모델명, 요금제, 가입일 등을 조회할 수 있었습니다.

해커는 상담사의 PC에 네트워크 모니터링 도구를 설치하고, 상담사가 PC에서 N-STEP 시스템에 접속하여 고객의 포인트를 조회할 때 생성되는 URL을 획득하였습니다. 그렇게 생성된 URL을 사용하여, 해커는 외부 PC에서 임의의 전화번호들을 검색함으로써 8만 건의 개인정보를 유출하였습니다. 한편 해커가 사용한 URL 주소에는 KT 퇴직자의 ID 변환 값이 포함되어 있었고, 퇴직자 ID의 접속권한을 말소해야 한다고 규정하는 이 사건 고시를 위반한 것인지 여부가 문제되었습니다.

방송통신위원회의 과징금 처분

2014년 6월 26일, 방송통신위원회(이하 ‘방통위’)는 KT가 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(2014. 5. 28. 법률 제12681호로 개정되기 전의 것) 제28조 제1항 제2호, 그 시행령 제15조, 그리고 이 사건 고시의 제4조 제2항, 제5항 및 제9항을 위반하였다고 보아 7,000만원의 과징금을 부과하였습니다. KT는 방통위의 처분에 불복하여 2014년 8월 14일 과징금 부과처분 취소 소송을 제기하였습니다. 방통위가 지적한 KT의 위반사실들 중 소송에서 주요하게 다루어진 쟁점들을 정리하면 다음과 같습니다.

KT 소송의 주요 쟁점

법원이 KT의 손을 들어준 이유

Photo by Nathan Shively on Unsplash

법원은 사업자에게 불리한 행정처분의 근거가 되는 법규는 엄격하게 해석∙적용해야 한다는 전제하에, KT의 (1) 사용자 인증 미비와 (2) 비정상 접근 미탐지가 이 사건 고시를 위반하지 않았다고 판단하였고, (3) 퇴직자 ID 미차단의 경우에만 이 사건 고시 위반을 인정하였습니다. 결국 법원은 방통위가 과징금 처분의 근거로 삼은 KT의 위반사실들 중 한 가지만을 인정하였고, 방통위가 KT의 위반행위를 중대하다고 평가하여 과징금을 산정한 것은 재량권의 일탈∙남용이라고 판단하였습니다.

사용자 인증 미비의 경우, 방통위는 이 사건 고시의 제4조 제9항의 취지는 일반 이용자에 의한 개인정보 유출 뿐만 아니라 해킹 등 외부 공격으로 인한 개인정보 유출까지 방지하는 취지이므로 해킹을 방지하지 못한 것은 이 사건 고시 위반이라고 주장하였습니다. 그러나, 법원은 제4조 제9항은 기본적으로 사업자의 내부 요인, 즉 개인정보취급자의 부주의, 인터넷 홈페이지 운영자나 자료 게시 담당 직원의 과실, 개발 시 간과한 취약점 등으로 인한 개인정보 노출을 방지하는 조항이며, 해킹을 통한 개인정보 유출을 직접적으로 규율하는 조항이 아니라고 해석하였습니다. 또한 KT는 자동화된 점검 도구, 모의 해킹, 침입방지시스템 설치∙운영으로 취약점을 최소화하기 위한 조치를 이행하였기 때문에 KT의 인증미비 행위가 이 사건 고시 위반에 해당하지 않는다고 판단하였습니다.

다음으로 비정상 접근 미탐지의 경우, 방통위는 이 사건 고시 제4조 제5항에서 불법접근 및 침해사고를 방지하기 위한 시스템을 ‘운영’한다는 것은 웹 서버 로그 기록 등을 재분석하여 불법적인 정보 유출 시도를 탐지하는 것을 포함하므로, KT가 웹 서버 로그를 분석하지 않은 것은 이 사건 고시를 위반한 것이라고 주장하였습니다. 그러나 2심에서 법원은 시스템 ‘운영’이 “’침입차단 및 침입탐지 기능을 갖춘 설비’를 그 통상적인 기능과 용법에 맞게 제대로 운영하는 것’을 의미할 뿐 웹 서버 접속 로그 기록을 실시간으로 또는 사후적으로 분석하는 것은 포함되지 않는다고 판단하였습니다. 법원이 그렇게 판단한 이유는, 제4조 제5항의 ‘개인정보처리시스템’에 웹 서버가 포함되지 않고, ‘IP 주소 등’에 ‘웹 서버 접속 로그 기록’이 포함되지 않는다고 보았기 때문입니다. 한편 KT는 침입방지시스템과 방화벽 등을 설치∙운영하고 있었으므로, 법원은 KT가 제4조 제5항을 위반하지 않았다고 판단하였습니다. 참고로 대법원 판결은 ‘개인정보처리시스템’에 웹 서버까지 포함된다고 보았지만, “소스코드를 작성하는 개발 단계에서 파라미터 변조라는 예외적인 상황을 모두 예상하여 이를 소스코드에 반영하도록 기대하기란 쉽지 않다”고 판단하여 1, 2심과 마찬가지로 이 부분에 대한 KT의 고시 위반을 인정하지 않았습니다.

퇴직자 ID 미차단은 올레클럽 웹사이트 해킹에 사용된 URL에 퇴직자의 ID 변환 값이 포함되었기 때문에 문제가 되었습니다. 이에 대하여, 법원은 퇴직자의 접근권한을 말소한다는 것은 단순히 사용자 계정의 중지를 의미하는 것이 아니라 개인정보처리시스템의 전 과정에 해당 계정이 접근하지 못하도록 하는 것을 의미한다고 보아, KT의 이 사건 고시 위반을 인정하였습니다.

이대로 안심해도 괜찮을까?

과징금 부과처분 취소소송의 1, 2심이 KT의 손을 들어준 이후, 유출 피해자들이 제기한 민사소송에서도 피해자들의 손해배상청구는 대부분 기각되었습니다. 그 결과, 이 사건은 1,178만 건의 개인정보가 유출되었음에도 제대로 된 피해구제가 이루어지지 않은 사건이 되었습니다. 그래서인지, 이 사건 이후 관련 법령은 개정되었고, 사업자들에 대한 과징금 처분과 보호조치 기준, 행정소송은 사업자들에게 엄격한 추세로 변화되었습니다.

우선 최대 과징금이 상향 조정되었습니다. 이 사건에서의 과징금 처분 당시 최대 과징금 액수는1억원이었지만, 현재 「개인정보 보호법」 제39조의15 제1항은 정보통신서비스 제공자의 개인정보 유출이 일어날 경우 매출액의 3%까지 과징금을 부과할 수 있다고 규정하고 있습니다.

또한, 개인정보보호위원회가 발간하는 「개인정보의 기술적∙관리적 보호조치 기준 해설서」는 이 사건 고시에서 문제되었던 제4조 제9항의 안전조치에 ‘인증 우회에 대비하는 조치 등’이 포함된다고 명시함으로써, 사업자 내부과실 뿐 아니라 외부 공격에 대한 대비까지 포함된다는 것을 명확히 하였습니다. 이를 근거로, 이 사건 이후 벌어진 주식회사 이스트소프트의 해킹사건에서 방통위는 과징금 처분이유에서 제4조 제9항의 조치는 “내부적인 부주의로 인한 개인정보의 노출방지로 한정되는 규정이 아니다”고 판단하며 이 사건에서의 법원 판결에 반대되는 견해를 드러냈습니다. 이스트소프트가 과징금 처분에 불복하여 제기한 행정소송에서도, 1심 판결은 이 사건과 달리 방통위의 결론을 지지하였습니다(서울행정법원 2019. 4. 25. 선고 2018구합65682 판결).

결론적으로, 이 사건은 KT의 승리로 종결되었지만, 해킹사건에 대한 방통위와 법원의 제재는 강화되고 있다는 점을 반드시 명심하셔야 합니다.

표경민 변호사
법무법인 디라이트
kmp@dlightlaw.com

One comment

  1. 핑백: [월간개인정보] 개인정보 보호조치, 어떻게, 얼만큼? – 법무법인 디라이트 | D’LIGHT Law Group

댓글 남기기