정보통신서비스 제공자는 법령에 따라 개인정보의 분실, 도난 등을 방지해야 법령상의 의무가 있는데, 사건 당시 기술적, 관리적 보호조치를 규정한 법령은 정보통신망법 28, 시행령 15, 방통위 고시인 개인정보의 기술적, 관리적 보호조치 기준입니다.

 

대법원에서 쟁점이 것은 방통위 고시 4 4, 5 등이 정하고 있는 기술적, 관리적 보호조치를 다하였는지 여부였습니다.

 

(1) 고시 4 4항은 정보통신서비스 제공자 등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에서 공인인증서 안전한 인증수단을 적용하여야 한다고 규정하고 있습니다. 사건에서 개인정보취급자는 A빌딩에서 다른 장소인 IDC 있는 DB서버에 VPN 이용하여 연결하여 업무를 처리하였습니다. 해킹사고는 해커가 A빌딩에 있던 직원의 컴퓨터에 침입하여 VPN 통해 IDC DB서버에 접속하면서 발생한 것입니다. 이에 대하여 법원은 VPN 이용하여 접속한 것은 외부에서 IDC 접속한 것이 아니므로 고시 4 4 적용되지 않는다고 판시하였습니다.

 

(2) 고시 4 5항은 정보통신서비스 제공자가 불법적인 접근 침해사고 방지를 위해 개인정보처리시스템에 대한 접속권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 제한하고 접속 IP주소를 재분석하여 불법적인 개인정보 유출시도를 탐지하는 기능을 포함한 시스템을 설치 운영하여야 한다고 규정하고 있습니다. 이에 대하여 주요 정보의 유출을 차단, 예방하는 하드웨어/소프트웨어인 DLP 솔루션을 설치 운영해야 한다고 보기 어렵고, 대량 유출 정보를 실시간으로 모니터링하는 보호조치까지 포함된다고 보기도 어렵다고 판단하였습니다.

 

(3) 고시 4 5 1호에 관해서는, 정보통신서비스 제공자는 게이트웨이 서버와 DB 서버에 접속할 있는 IP주소를 권한이 있는 직원들이 사용하는 컴퓨터의 IP 주소로 한정하였습니다. 사건에서는 키로깅을 통하여 DB 서버의 관리자의 아이디와 비밀번호를 취득하여 게이트웨어 서버와 DB 서버에 접속하였던 것이므로, 고시 규정의 기술적, 관리적 보호조치를 위반하였다고 수는 없다고 보았습니다.

 

(4) 사건에서 개인정보처리자가 퇴근시 로그아웃 하지 않았고, 자동 로그아웃 기능도 설정되지 않았습니다. 법원은 이에 대하여 법령이나 계약상 의무에 위와 같은 사항이 있다고 수는 없다고 보았습니다. 더구나 로그아웃 유무에 따라 키로깅을 통한 해킹을 방지할 없다고 인정하였습니다.

 

(5) 정보통신서비스 사업자의 개인정보보호 업무지침 26 4항에 개인정보 접근 PC에서 FTP 서비스를 제공하는 행위를 금하고 있는 , 사건에서 개인정보 데이터가 FTP 통하여 유출되었습니다. 그러나 법원은 업무지침은 개인정보 접근 PC FTP 서버로 설정하는 행위를 금지하고 있을 뿐이라고 해석하여, 개인정보 접근 PC FTP 클라이언트로 사용하여 전송한 것은 업무지침에 위반한 것으로 보지 않았습니다.

 

대법원은 위와 같은 사유로 개인정보유출 피해자들의 상고이유를 기각하였습니다.

 

정회목 변호사

 

[질문 또는 상담신청 입력하기]

 

 

작성일시 : 2018. 1. 31. 14:32
Trackback 0 : Comment 0

댓글을 달아 주세요


 

 

 

정보통신서비스 제공자는 법령에 따라 개인정보의 분실, 도난 등을 방지해야 법령상의 의무가 있는데, 사건 당시 기술적, 관리적 보호조치를 규정한 법령은 아래와 같습니다.

 

정보통신망법 (시행 2011.7.6. 법률 10560, 2011.4.5. 일부개정)

28 (개인정보의 보호조치) 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 호의 기술적·관리적 조치를 하여야 한다.

1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 접근 통제장치의 설치·운영

3. 접속기록의 위조·변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치·운영 컴퓨터바이러스에 의한 침해 방지조치

6. 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

시행령 15 (개인정보의 보호조치) 정보통신서비스 제공자가 취하여야 개인정보의 안전성 확보에 필요한 기술적, 관리적 조치를 보다 구체적으로 규정.

개인정보의 기술적, 관리적 보호조치 기준 (방송통신위원회 고시 2011-1)

 

또한 정보통신서비스를 이용하려는 이용자와 이용계약을 체결하면서 개인정보를 필수적으로 제공하도록 요청하여 수집하였다면, 정보통신서비스 제공자는 수집한 개인정보 등이 분실, 도난, 누출, 변조, 훼손되지 않도록 안전성 확보에 필요한 보호조치를 취하여야 이용계약상의 의무도 부담합니다.

 

그런데 대법원은 개인정보 유출 피해자들의 상고심에서 정보통신서비스 제공자가 위와 같은 법령상, 계약상 의무를 위반하지 않았다고 판단하였습니다.

 

주요 근거는 정보통신서비스의 개방성, 네트워크 시스템과 운영체제 등의 내재적 취약성 등으로 해커 등의 침입에 완벽한 보안을 갖추는 것은 불가능하다고 보아, 정보통신서비스 제공자가 갖추어야 개인정보의 안전성 확보에 필요한 보호조치에 대하여 위와 같은 특수한 사정을 고려해야 한다는 것이었습니다. 결국 여러 사정을 종합적으로 고려하여 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단해야 한다고 판시한 것입니다.

 

구체적으로는 방통위 고시에서 정하고 있는 기술적, 관리적 보호조치를 다하였다면 정보통신서비스 제공자가 필요한 보호조치를 취하여야 법률상 또는 계약상 의무를 위반하였다고 보기 어렵다고 판단하였습니다. 다만, 정보통신서비스 제공자가 마땅히 준수해야 한다고 예상할 있고 사회통념상 합리적으로 기대 가능한 보호조치를 다하지 아니하였거나, 불법행위에 도움을 주지 말아야할 주의의무를 위반하여 타인의 불법행위를 용이하게 하고 피해자의 손해발생과 인과관계가 성립하는 경우에는 예외적으로 위법행위에 대한 책임을 물을 있다고 판단하였습니다.

 

다만, 대법원은 방통위 고시에 특정 보호조치를 의무가 규정되어 있지 않다는 이유만으로 정보통신서비스 제공자가 위와 같은 보호조치 의무를 부담하지 않는 것처럼 판시한 부분에 대하여 적절하지 않다고 판시하였습니다. 그러나 사건은 해커가 이미 원격데스크탑 연결과 키로깅을 통하여 아이디와 비밀번호를 획득하였기 때문에 고시상 또는 적절한 보호조치를 하였더라도 DB서버에 로그인하는 것을 막을 없다고 보았습니다.

 

사건에서 아쉬운 점은 정보통신서비스 제공자의 직원이 업무상 부주의로 키로깅 해킹 프로그램이 업무용 PC 설치되었고 이로 인하여 게이트웨어 서버, DB 서버에 접속하여 개인정보를 유출하였던 것인데, 회사의 책임이 없다고 보이지 않는 사안에서 최소한의 책임이라도 묻지 못한 점이라고 보입니다.

 

첨부: 대법원 2018. 1. 25. 선고 2015249054 판결

대법원 2015다24904 판결.pdf

KASAN_[개인정보유출분쟁] SK 커뮤니케이션즈 개인정보 유출 사건 대법원 2018. 1. 25. 선고 2015다

 

정회목 변호사

 

[질문 또는 상담신청 입력하기]

 

 

작성일시 : 2018. 1. 31. 13:41
Trackback 0 : Comment 0

댓글을 달아 주세요