개인정보 사고 분석- 법적 쟁점을 중심 (2023.04~05)

 

사건에 대한 설명

<개요>

[피고: 정보통신서비스 제공자인 인터파크 법인, 원고: 인터파크 회원]
 
인터넷 쇼핑몰인 인터파크는 지난 2016년 5월 인적사항을 알 수 없는 해커에게 약 1,030만명의 개인정보 2,540만여건이 대량으로 유출하는 사고를 일으켰다. 개인정보 유출여부 확인 결과 이 사건에서 유출된 인터파크 사용자들의 개인정보에는 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소의 전부 또는 일부가 포함되어 있었다. 

개인정보 유출까지의 해킹 단계

1. 인터파크 직원 A의 계정 아이디 및 비밀번호를 스피어피싱*의 방법으로 취득
2. 불법취득한 A의 이메일 계정을 도용하여 정상 접속
3. 직원A가 클라우드에 저장, 관리하고 있는 가족사진 등을 이용하여 악성코드인 zip파일을 생성
4. 해커는 발신자를 동생의 실제 이메일로 변조하고 악성코드 zip파일을 첨부하여 직원A의 이메일 주소로 전송
5. 직원A는 회사 내 자신의 업무용PC에서 열람한 다음 첨부파일인 zip파일을 실행하였고, 직원A의 업무용PC가 악성코드에 최초 감염
6. 해커는 최초 감염PC를 이용하여 피고의 직원들이 공용으로 사용하는 파일공유서버에 네트워크 공유를 이용해 피고의 DB서버 관리자인 직원B의 업무용 PC에 접속
7. 당시 직원B의 PC는 외부 VPN으로 접속하여 장애처리 등의 업무를 수행하고자 켜놓은 상태로 망분리 프로그램인 미라지웍스 vDESK를 통해 업무망이 접속되어 있었고, 서버접근제어 프로그램에 접속이 되어있는 취약한 상태로 놓여있었기 때문에 해커는 직원B의 PC를 통해 회원들의 개인정보가 저장된 DB서버에 별도의 인증 없이 1차로 접속에 성공함
8. 해커는 다른 직원C의 업무용PC에서 직원B의 원격데스크 DB서버 내에 회원들의 개인정보를 백업한 DB백업본을 웹서버와 공유하고 있는 공용 파티션 폴더에 16개의 파일로 분할하여 저장
9. 공용 파티션 폴더에 분할되어 있는 개인정보 파일 16개를 다시 웹서버 경로에 저장하였고, 웹서버에 저장된 개인정보 파일 16개를 직원B의 PC로 다운로드하여 이전까지 직원B에 다운로드 된 개인정보 파일 16개를 직원C의 PC로 이동시킴
10. 해커는 직원C의 PC에서 16개의 파일을 20여회에 걸쳐 외부의 수원 소재 PC방으로 전송 이후 직원C의 PC로부터 탈취한 다량의 개인정보 파일을 시스템/휴지통에 19개 파일로 저장한 흔적을 확인
 
(개인정보처리자의 대응, 주장, 설명은 민사소송의 원고, 피고의 주장을 설명할 때 다루도록 하겠음)

행정처분 및 민사소송

개인정보처리자의 위반 행위와 위반 법 조문

1. 개인정보처리시스템에 최대접속시간 제한 조치 등 접근통제를 소홀히 함 - 구 정보통신망법 제28조 제1항 제2호, 구 정보통신망법 시행령 제15조 제2항 제5호, 개인정보의 기술적 관리적 보호조치 기준 제4조 제10항을 위반
2. 시스템 비밀번호 관리를 소홀히 하였음 - 구 정보통신망법 제28조 제1항 제4호, 구 정보통신망법 시행령 제15조 제4항 제1호, 이 사건 보호조치(방송통신위원회 고시 제2015-3호)기준 제6조 제1항을 위반
3. 정보통신서비스 제공자가 개인정보가 유출된 사실을 안 때에는 그때로부터 24시간 이내에 유출된 개인정보 항목, 유출이 발생한 시점 등을 해당 이용자에게 알려야 하지만 인터파크는 2주가 지난 후에 알림 - 구 정보통신망법 제27조의3 제1항 위반

개인정보처리자의 주장(피고) vs 규제기관의 주장 및 판결내용 - 민사소송

<소송개요> 위 개요와 동치
 
<개인정보처리자의 주장> - 번호 순서대로 1:1대응
 
1. HQDB서버에 'tcp_keepidle=14400'이라는 명령어를 사용하여 접속한 후 2시간이 경과하면 자동적으로 연결이 종료되는 상태였다고 주장
2. 개인정보취급자인 직원B의 PC에 10분이 경과하면 자동으로 잠금상태가 되는 설정을 하였으므로 최대접속시간 제한조치를 한 것이라고 주장
3. 구 정보통신망법 제28조 제1항 제4호, 구 정보통신망법 시행령 제15조 제4항이 비밀번호 암호화조치 대상을 '개인정보'에 한정하고 있음에도 이 사건 보호조치기준 제2조 제6호는 개인정보취급자 등의 비밀번호까지 이 사건 보호, 조치기준에서 정하는 비밀번호의 범위에 포함시켜 결과적으로 개인정보취급자 등의 비밀번호까지 암호화 보안조치의 대상으로 규정하였으므로, 헌법상 법률유보 원칙과 포괄위임금지 원칙을 위반하여 무효라고 주장
4.  이 사건 보호조치기준 제2조 제6호의 비밀번호는 모든 시스템 또는 정보통신망이 아니라 개인정보처리시스템 및 그에 접속하기 위한 정보통신망에 접속할 때 이용되는 비밀번호에 한정되는데, C PC 및 NAS 공유서버에 저장되어 있던 비밀번호 중 개인정보처리시스템 및 그에 접속하기 위한 정보통신망과 관련된 것은 없었으므로, 구 정보통신망법 제28조 제1항 제4호를 위반한 것으로 볼 수 없다고 주장
5. 구 정보통신망법 제32조의2에 의한 손해배상책임이 인정되기 위해서는 정보통신서비스 제공자의 위 법률 규정 위반행위와 개인정보의 유출 사이에 인과관계가 인정되어야 하는데, 피고의 각 구 정보통신망법 위반행위와 원고들의 개인정보유출 사이에 인과관계가 인정되지 않는다고 주장
 
<법원의 주장> 
 
1. 인터파크 직원의 접속기록을 보면 약 2일 9시간동안 HQDB서버에 접속이 이루어졌음에도 접속제한이 이루어지지 않았을 뿐만 아니라 2016. 5. 9. 11:17경 명령어를 입력한 후 재차 명령어를 입력하기까지 약 1일이 경과되었음에도 접속제한이 이루어지지 않는 등 HQDB 서버에서 완전한 접속종료가 이루어지지 않았음
2. PC의 자동잠금 상태만으로는 잠금 상태가 발생하기 전 이루어진 접속까지 차단되는 것은 아니어서 HQDB 서버 접속이 종료된 것으로 볼 수 없으므로 이를 최대접속시간 제한 조치를 한 것이라고 보기는 어려움
3. 이 사건 보호조치기준 제2조 제6호에서 개인정보취급자 등의 비밀번호를 포함한 것이 법률유보, 원칙이나 포괄위임금지 원칙을 위반한 것이라고 볼 수 없다
4. 이 사건 보호조치기준 제2조 제6호의 비밀번호가 개인정보처리시스템 및 그에 접속하기 위한 정보통신망에 접속할 때 이용되는 비밀번호에 한정된다고 보기 어려움
5. 정보통신서비스 제공자가 고의 또는 과실로 구 정보통신망법 제22조 내지 제32조의3을 위반하고, 개인정보가 분실·도난·유출·위조·변조 또는 훼손되었다는 사정이 발생하기만 하면 위 법률규정의 위반행위와 개인정보의 분실·도난·유출 등과의 인과관계가 있는지 여부와 관계없이 정보통신서비스 제공자에게 구 정보통신망법 제32조의2에 의한 손해배상책임이 인정된다고 해석함이 타당함
 

개인정보처리자의 주장(피고) vs 규제기관의 주장 및 판결내용 - 행정소송

<개인정보처리자의 주장> - 번호 순서대로 1:1대응
 
1. '개인정보의 기술적·관리적 보호조치 기준 제4조 제10항은 '접속이 필요한 시간'의 범위, '최대 접속시간 제한 등의 조치'의 구체적인 방법과 기준이 규정되어 있지 않아 헌법상 법률유보 원칙 및 명확성 원칙을 위반하여 무효임
2. 망분리 프로그램 및 서버 접근제어 프로그램은 최대접속시간 제한조치 등의 대상이 되는 개인정보처리시스템에 해당하지 않고, 원고는 개인정보처리시스템인 HQDB의 최대접속시간을 2시간으로 제한하는 등의 조치를 취하여 최대 접속시간 제한조치 의무를 위반하지 않았으므로, 이 사건 제1처분사유는 존재하지 않음
3. 이 사건 보호조치기준 제2조 제6호는 비밀번호에 관하여 "이용자 및 개인정보취급자 등이 시스템 또는 정보통신망에 접속할 때"라고 규정하고 있는데, 이는 모법인 정보통신망법 제28조 제1항 제4호, 같은 법 시행령 제15조 제4항이 비밀번호의 암호화조치대상을 '개인정보'에 한정하고 있음에도 불구하고 '개인정보취급자'의 비밀번호까지 암호화조치 대상으로 규정한 것으로서, 헌법상 법률유보 원칙과 포괄위임금지 원칙을 위반하여 무효임
 
<규제기관(방통위)의 주장> 
 
1. 이 사건 보호조치기준 제4조 제10항의 '접속이 필요한 시간'의 범위는 수범자의 구체적인 환경이나 상황에 따라 다를 수밖에 없어 법이나 시행령에서 일의적으로 규율할 만한 성질의 것이라고 보기 어려우므로, 그 시간의 범위를 법이나 시행령에서 구체적으로 규정하지 않았다고 하여 법률유보 원칙을 위반한 것으로 보기 어렵다.
2.  망분리 프로그램 및 서버접근제어 프로그램 그 자체는 이용자의 개인정보를 처리하지 않으나, 망분리 프로그램 및 서버접근제어 프로그램의 인증이 유지되고 있는 이상 개인정보가 저장되어 있는 HQDB 접속을 위한 로그인 절차를 통과한 상태가 지속된다. 이와 같이 망분리 프로그램 및 서버 접근제어 프로그램은 HQDB에 접근하기 위한 인증 역할을 담당하고 있어 개인정보처리시스템에 접속하기 위한 보조적 역할을 하는 인증 프로그램에 해당하고, 수범자가 접속이 필요한 시간을 어떻게 설정했는지는 제재처분의 사유에 해당하지 않고, 망분리 프로그램 및 서버접근제어 프로그램 그 자체가 '개인정보처리시스템'에 해당하는지 여부와는 무관하게 이 사건 보호조치기준 제4조 제10항의 준수 여부는 개인정보시스템에 접속한 취급자가 최대접속시간이 경과하면 그 접속이 실제로 종료되는지를 기준으로 판단해야함.
3. 정보통신망법 제28조 제1항 및 같은 법 시행령 제15조 제4항은 비밀번호의 암호화 조치 등의 목적에 대하여 '개인정보의 안전한 저장·전송'으로 규정하고 있는바, 이와 같은 목적을 달성하기 위하여 개인정보를 다루는 개인정보취급자에 대한 보안조치가 요구됨. 이 사건 보호조치기준 제4조 제8항은 '정보통신서비스 제공자 등은 개인정보취급자를 대상으로 비밀번호 작성규칙을 수립하고 이를 적용 운용하여야 한다'고 규정하고 있고, 제9항은 '정보통신서비스 제공자 등은 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다'고 규정하고 있음

원고의 주장 vs 피고의 주장

<원고의 주장>
개인정보 유출 피해를 본 회원 2400여명은 인터파크를 상대로 “1인당 30만원씩을 지급하라”
 
<피고의 주장>
구 정보통신망법 제28조 제1항 제2호를 위반한 데에 고의, 과실이 없고,  구 정보통신망법 제28조 제1항 제4호를 위반한 것으로 볼 수 없고, 따라서 피고에게 위 규정 위반에 대한 고의, 과실이 없다고 주장

판결내용

이 사건에서 유출된 원고들의 개인정보에는 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소의 전부 또는 일부가 포함되어 있고, 이는 모두 원고들 개인을 식별할 수 있을 뿐만 아니라 사생활과 밀접한 관련이 있는 것이며, 이를 도용한 2차 피해 발생과 확대의 가능성을 배제하기 어렵다. 또한, 피고는 2016. 7. 11.경 원고들의 개인정보가 유출되었음을 인지하였음에도 그로부터 14일 후인 2016. 7. 25.에야 비로소 원고들에게 이를 통지하여, 원고들이 개인정보 유출에 신속히 대응할 수 있는 기회를 상실케 하였다.
다만 유출된 원고들의 개인정보 중 비밀번호는 이 사건 보호조치기준 제6조 제1항에 따라 일방향 암호화된 것으로 보이고, 현재까지 원고들의 개인정보가 불특정 다수인에게 공개 또는 열람할 수 있는 상태에 놓였다거나 원고들의 명의가 도용되는 등으로 원고들에게 개인정보의 유출로 인한 추가 법익침해가 발생하였다고 볼 자료는 제출되지 않았다. 또한, 해커가 피고의 내부 전산망에 침입하여 사전에 확보한 공용관리계정을 통해 개인정보취급자인 I PC에 원격데스크톱 방식에 의한 접속에 성공한 이상 독자적인 방법으로 I PC에서 망분리 프로그램 및 서버 접근제어 프로그램에 로그인하기 위한 계정정보, 비밀번호 등을 취득하여 HQDB 서버에 접속하였을 가능성이 높으므로, 피고가 HQDB 서버의 최대접속시간 제한 조치를 취하였다거나 C PC 및 NAS 서버에 저장되어 있던 비밀번호에 대한 일방향 암호화 조치를 하였더라도 일시적 효과는 있을 수 있었겠으나 궁극적으로 개인정보 유출을 막았을 것이라고 단정하기도 어렵다. 뿐만 아니라 파일형태로 보관·처리되는 개인정보의 유출방지가 기술적으로 완벽할 것을 기대하기는 어려운 반면, 기업이 소비자에게 유익한 서비스를 제공함에 있어 부득이 고객의 일정한 개인정보를 수집·보관하는 것이 필요한 현실적인 제약이 있다.
이와 같은 사정에 피고의 개인정보 관리 실태와 유출의 구체적인 경위 등 이 사건 변론과 증거조사에 나타난 여러 사정들을 종합적으로 고려하면, 피고가 원고들에게 배상하여야 할 손해액은 각 100,000원으로 정함이 상당하다.
따라서 피고는 원고들에게 각 100,000원 및 이에 대하여 개인정보가 유출된 날 이후로 원고들이 구하는 이 사건 소장 부본 송달 다음날인 2016. 11. 9.부터 피고가 이행의무의 존재 여부나 범위에 관하여 항쟁하는 것이 타당하다고 인정되는 이 사건 판결 선고일인 2020. 10. 29.까지는 민법이 정한 연 5%, 그 다음날부터 다 갚는 날까지는 소송촉진 등에 관한 특례법이 정한 연 12%의 각 비율로 계산한 지연손해금을 지급할 의무가 있다.

수행팀의 의견 및 마무리

사건의 원인과 문제점

시스템 해킹으로 인해 수많은 사람들의 개인정보다 유출된 이 사건의 원인은 인터파크가 시스템 접속의 최대시간 접속 제한에 대한 기술적 조치가 미흡함이 자명하다. 그리고 시스템 해킹으로 인해 개인정보가 유출되었음에도 불구하고 24시간 내에 고지하지 않은 점과 비밀번호 관리에 대한 소홀함을 문제점으로 지적한다.
 

행정처분에 관한 의견

규모가 큰 개인정보 유출사건이 전보다 빈번히 나타나고 있는 요즘, 방대한 양의 개인정보를 소지하고 있는 기업이 이를 제대로 관리하지 못하여 유출이 발생한 경우 법률에 어긋나지 않는 한 엄격한 처분을 받아야 한다고 생각한다. 따라서 PC 폐기 등과 관련한 추가적 가중 여부와 개인정보보호 관리체계 인증에 따른 감경여부를 포함한 과징금 및 과태료 행정처분은 합당하다고 생각한다.
 

민사소송 판결에 대한 의견

인터파크의 회원 중 개인정보 유출로 손해를 입은 일부는 1인당 30만원을 배상하라고 소송을 진행했으나 개인정보의 유출로 인한 추가적인 법익침해는 발생하지 않았고, 과거의 판례를 고려하면 10만원 배상에 대한 판결은 적법하다고 생각한다.
 
 
 
* 망분리 : 외부 인터넷망으로부터 발생하는 유해한 공격 및 유출 등을 막기 위하여 기업 내 업무 망과 외부 인터넷망을 분리하는 것
 
 

참고 판결문
1. 2016가합563586 손해배상(기) - 민사소송
2. 2017구합53156호- 피고의 소 제기[청구기각판결] - 행정소송
3. 서울고등법원 2018누56291호로 항소[항소기각판결] - 행정소송
4. 대법원 2019두60851호로 상고[상고기각판결]

 

[1분반_1팀] 개인정보보호법의 이해_팀플 발표자료.pdf

2.89MB